BrowserStack에서 사용자 이메일 주소가 유출되고 있음

• 서비스별로 고유 이메일 주소를 생성해 추적한 결과, BrowserStack 전용 주소로 제3자 발신 메일이 도착함
• BrowserStack 오픈소스 프로그램 가입 후, Apollo.io를 통해 발송된 외부 메일이 해당 주소로 수신됨
• Apollo.io는 처음엔 공개 정보 기반 알고리듬으로 생성된 주소라 주장했으나, 이후 BrowserStack이 데이터를 제공했다고 수정 답변함
• BrowserStack에 여러 차례 문의했지만 응답이 없었으며, 내부 유출·제3자 서비스·직원 반출 등 세 가지 가능성이 제시됨
• 사건은 기업의 개인정보 상업적 교환 관행과 책임 부재 문제를 드러내는 사례로 지적됨

BrowserStack 사용자 이메일 유출 의혹

• 서비스별 고유 이메일 주소 생성 방식을 통해 유출 경로를 추적한 사례
  • 각 서비스 가입 시마다 별도의 이메일을 만들어 사용
  • 특정 주소로 스팸이나 외부 메일이 오면, 어느 서비스에서 유출됐는지 즉시 확인 가능

• BrowserStack 오픈소스 프로그램 가입 후해당 전용 이메일로Apollo.io를 통한 외부 발신 메일 수신

  • BrowserStack 지원팀과 몇 차례 이메일을 주고받은 뒤 계정 설정 완료
  • 이후 며칠 만에 BrowserStack과 무관한 제3자 발신 메일이 도착
  • 발신자는 자신의 데이터 출처가 Apollo.io라고 명시
  • Apollo.io의 초기 해명은 “공개 정보 기반의 자체 알고리듬” 이라는 주장
  • “firstname.lastname@companydomain.com” 형태의 일반적 이메일 구조를 사용했다고 설명
  • 그러나 해당 주소는 BrowserStack 전용으로, 공개 정보로는 유추 불가능한 형태
  • 지적 이후 Apollo는 BrowserStack이 고객 기여 네트워크를 통해 데이터를 제공했다고 수정 답변
  • 데이터 수집일은 2026년 2월 25일로 기록

• BrowserStack 측은 여러 차례 문의에도 응답하지 않음

  • “No spam, we promise!”라는 문구와 달리, 공식 답변이 전혀 없었음
  • 가능한 유출 경로로 세 가지 시나리오가 제시됨
    • BrowserStack이 사용자 데이터를 직접 판매 또는 제공
    • BrowserStack이 사용하는 제3자 서비스에서의 정보 유출
    • 내부 직원이나 계약자에 의한 외부 반출

• 개인정보 상업화 관행에 대한 문제 제기

  • 악의적 해킹보다 기업 간 개인정보 교환의 일상화가 더 큰 문제로 지적됨
  • 개인정보 보호에 대한 기업의 무책임한 태도가 드러난 사례로 평가됨
  • 이어지는 후속 글에서는 Apollo가 대형 기업으로부터 전화번호를 확보한 사례를 다룰 예정임