BrowserStack 洩漏用戶郵件地址？一個隱私警訊

幾週前，Terence Eden 註冊了 BrowserStack 的開源計劃。他為此創造了一個專屬的郵件地址——就像他為每個服務做的一樣。

但這個小小的安全措施，很快就變成了揭露真相的證據。

獨特的郵件地址：一個簡單的安全措施

Edison 是那種對隱私很敏感的「技術宅」。像許多技術人一樣，他為每個服務註冊都創造一個獨特的郵件地址。這聽起來很麻煩，但有好處：你可以立即知道是誰洩漏了你的資料。

這就像每個人都有一個專屬的印章。如果某天你的印章出現在你沒去過的地方，你馬上知道問題出在哪裡。

幾週前，Edison 註冊了 BrowserStack 的開源計劃。這個計劃提供免費的測試工具給開源專案。過程很順利，他和 BrowserStack 的支援團隊來回溝通了幾次郵件，終於設置完成。

BrowserStack 是什麼？它是個跨瀏覽器測試平台，允許開發者在不同的瀏覽器和裝置上測試他們的網站和應用程式。它在全球有超過 5 萬個客戶，包括許多知名企業。開源計劃讓開發專案可以免費使用它的服務，這對開發社群來說是一個很有吸引力的優惠。

第一封可疑的郵件

然後，幾天後，問題開始了。

Edison 收到了一封郵件。郵件地址是那個他只用來註冊 BrowserStack 的專屬地址。但發信人不是 BrowserStack，而是一個他完全不認識的人。

這本身就很奇怪。如果你把郵件地址給了 A 公司，卻收到了 B 公司的郵件，你會怎麼想？

經過簡短的溝通，這個陌生人告訴 Edison：他是從 Apollo.io 那裡獲得 Edison 的聯繫方式。

Apollo.io 是什麼？它是一個 B2B 聯繫人資料平台，主要業務是收集和整理企業聯繫人資訊。換句話說，它們的生意就是賣別人的資料。

Apollo 的模式很簡單：它們收集來自各種來源的聯繫人資料（公司網站、社群媒體、公開資料庫、以及「客戶貢獻」），然後把這些資料整理成一個龐大的資料庫。企業可以訂閱 Apollo 的服務，搜尋潛在客戶的聯繫方式，然後用來銷售。

這聽起來像是「銷售工具」，但本質上是一個龐大的資料交易平台。而且這些資料，很多是沒有經過用戶同意就被收集的。

Apollo 的「專有演算法」說法

Edison 覺得事情不對勁。他聯繫了 Apollo，問它們是從哪裡得到他的資料的。

Apollo 的第一個回答很有趣。它們聲稱：

你的郵件地址是透過我們的專有演算法推導出來的。這個演算法利用公開可用的資訊，結合典型的企業郵件結構（例如 firstname.lastname@companydomain.com）。

「專有演算法」？這聽起來很厲害，但 Edison 一下子就看出問題了。

他創造的 BrowserStack 郵件地址不是什麼典型的企業郵件格式。它是完全自訂的、無法預測的。Apollo 根本不可能用「firstname.lastname@companydomain.com」這種模式推導出來。

這就像有人說：「我用數學算出了你家門鎖的密碼。」但你家的密碼根本不是數學可以算出來的——它是你自己亂打的一串亂碼。

Edison 直接問：「你在開玩笑嗎？」

Apollo 承認：資料來自 BrowserStack

被逼問之後，Apollo 說出了實話：

你的郵件地址來自 BrowserStack（browserstack.com）。BrowserStack 是我們的客戶，它們透過參與我們的客戶貢獻網絡，將其商業聯繫人分享給 Apollo 平台。

資料收集日期：2026-02-25。

這下清楚了。Edison 的郵件地址不是「推導」出來的，而是 BrowserStack 直接給 Apollo 的。

而且 Apollo 還有一個「客戶貢獻網絡」——聽起來很高大上，但實際上就是「客戶把用戶資料給我們」。Apollo 甚至把這個當成「合作」來行銷，仿佛資料交易是某種「生態系統」的貢獻。

這個日期也很重要：2026-02-25。這是在 Edison 註冊 BrowserStack 之後不久。資料轉移的時間很短，幾乎是立即發生的。

BrowserStack 的沉默

現在問題變成了：BrowserStack 知道嗎？它們同意嗎？

Edison 做了一個合理的舉動：他聯繫了 BrowserStack。

他的郵件開頭很直接：「嘿，你們在搞什麼鬼？」

但 BrowserStack 沒有回應。

Edison 寫了幾次。每次都是沉默。

最後，他在自己的部落格上寫了這篇文章。在文章中，他特意貼出了 BrowserStack 那個令人啼笑皆非的承諾：「No spam, we promise!」（不發垃圾郵件，我們保證！）

這個承諾現在看起來像是在嘲笑自己。BrowserStack 可能沒有「發垃圾郵件」，但把你的資料給別人，讓別人來發垃圾郵件——這有什麼區別？

三個可能的解釋

面對這種情況，Edison 分析了三種可能的解釋：

1. BrowserStack 經常出售或贈送用戶資料

這是最直接的解釋。也許 BrowserStack 有某個政策，允許它們「分享」用戶資料給合作夥伴。問題是，用戶註冊時，有被告知這一點嗎？有同意這一點嗎？

許多公司的隱私政策寫得模稜兩可：「我們可能與合作夥伴分享資料以改善服務。」但什麼是「合作夥伴」？什麼是「改善服務」？這些詞彙有意被定義得模糊不清，讓用戶無法確定自己的資料會被如何使用。

1. 第三方服務外洩資料

BrowserStack 可能使用了某個第三方服務（例如客服系統、郵件行銷工具），而這個第三方服務偷偷把資料轉手給了 Apollo。這種情況發生過很多次——公司本身是無辜的，但它的供應鏈不是。

這就像你把東西交給一個朋友，但這個朋友轉手就把它賣了。你的朋友沒有偷，但你的東西還是沒了。在數位世界，這種「間接洩漏」比直接的資料外洩還要常見。

1. 員工或承包商盜竊資料

這是最糟糕的情況。BrowserStack 內部有某個人（員工或承包商）偷偷複製了用戶資料，然後把它們賣給了 Apollo。這不是公司政策問題，而是內部安全問題。

這種情況發生在許多公司。只要有一個人有權限訪問資料，這個權限就可能被濫用。而且，如果公司沒有嚴格的審計和監控機制，這種內部外洩很難被發現。

更糟糕的事情

Edison 的文章結尾有一句讓人擔憂的話：

「但事情變得更糟。我的下一篇部落格文章將揭示 Apollo 如何從一家非常大的公司那裡獲得我的電話號碼。」

這意味著這不是一個孤立的情況。資料洩漏正在成為一種「常態」。

而且，從郵件地址到電話號碼，洩漏的資料類型越來越敏感。電話號碼比郵件地址更難替換、更難保護，但卻被當作普通的「聯繫資訊」在市場上買賣。

正常化：最大的危險

Edison 在文章中說了一句很有洞察力的話：

「我認為這只是缺乏對隱私尊重的機構正在正常化的卑鄙資料交易的一部分。」

這才是真正的危險。

當一次洩漏發生時，我們會憤怒、抗議。但當洩漏變得越來越常見，當每個公司都在「分享」用戶資料，當我們每天聽到新的資料外洩事件——我們開始麻木了。

我們開始接受這種「常態」。

我們開始認為：「算了，反正資料都已經外洩了，這還有什麼好驚訝的？」

這種正常化，比任何一次單獨的洩漏都更危險。因為它消解了我們抵抗的力量。如果我們接受「資料外洩是不可避免的」，那我們就沒有理由去要求公司做得更好，沒有理由去支持那些重視隱私的服務。

法規的差距

在這個故事中，還有一個重要但被忽略的角色：法規。

BrowserStack 是一家總部在美國的公司，Apollo 也是。美國沒有類似歐盟 GDPR 那樣全面的隱私保護法規。雖然美國有加州 CCPA 等州級法律，但它的覆蓋範圍有限，執法力度也不如 GDPR。

對照之下，如果這件事發生在歐盟，BrowserStack 和 Apollo 可能會面臨巨額罰款。GDPR 明確規定，個人資料的處理必須有明確的法律依據，而且用戶必須被明確告知。偷偷把資料轉給第三方？這在 GDPR 下是嚴重違法。

但在美國，這類行為可能只是「灰色地帶」。公司可以聲稱它們在隱私政策中提到了「與合作夥伴分享資料」（即使用戶根本沒有讀到那個條款）。

台灣的情況介於兩者之間。《個人資料保護法》要求資料的收集和處理必須有特定目的，而且不得逾越必要範圍。把用戶資料給銷售公司，很可能已經超出了「註冊 BrowserStack 服務」的特定目的。但問題在於，執法需要時間和資源，而且用戶很難知道自己的資料在何時、如何被洩漏。

供應鏈的脆弱

這個事件還揭示了另一個問題：數位供應鏈的脆弱。

BrowserStack 是一家技術公司，它的客戶也大多是技術人員。但連這樣的公司，都無法保證用戶資料不被外洩。那麼，那些使用舊系統、沒有專業安全團隊的公司呢？

資料洩漏不僅來自黑客攻擊，還來自「正常的商業合作」。A 公司把資料給 B 公司，B 公司給 C 公司，C 公司賣給 D 公司……在這個鏈條中，每個環節都可能出問題。

而且，資料一旦離開原始公司，就再也回不去了。你不能撤回已經被出售或分享的資料。

你該做什麼？

那麼，作為一個普通用戶，你能做什麼？

1. 獨特的郵件地址

像 Edison 一樣，為每個服務使用獨特的郵件地址。這樣你至少能知道是誰洩漏了你的資料。有很多工具可以幫你做到這一點：

• Fastmail 的虛擬郵件功能：你可以創造無限的別名郵件地址，而且可以隨時停用它們。
• Gmail 的「+」標籤技巧：在郵件地址後加上 + 和任何標籤，例如 yourname@gmail.com 變成 yourname+browserstack@gmail.com。這些郵件都會送到你的收件匣，但你可以過濾或追踪它們。

• 臨時郵箱服務：對於那些只需要一次性的服務（例如下載一個檔案），使用 10 Minute Mail、Guerrilla Mail 等臨時郵箱。

• 閱讀隱私政策

我知道沒人喜歡讀這些冗長的法律文件。但至少掃描一下「與第三方分享資料」的部分。如果某個公司說它會與「合作夥伴」分享你的資料，那就多想一想你是否真的要註冊。

特別注意這些紅旗：
– 「我們可能與合作夥伴分享資料以改善服務」（什麼合作夥伴？什麼改善？）
– 「當業務被出售時，我們會轉移資料」（你的資料可能被隨意轉手）
– 「為了行銷目的，我們可能分享你的聯繫資訊」（這等於說「我們會賣你的資料」）

1. 使用一次性或假資料

如果某個服務只需要你的郵件地址來發送一次性驗證碼，考慮使用臨時郵箱或假資料。許多服務並不需要你提供真實的個人資訊。

當然，不要在銀行、醫療、稅務等重要服務上使用假資料。但在那些隨便的網站或測試工具上，你有選擇的權利。

1. 定期檢查你的資料

你可以使用一些線上工具檢查你的郵件地址是否已被洩漏：

• Have I Been Pwned：輸入你的郵件地址，看看它是否出現在已知的資料洩漏事件中。
• Firefox Monitor：Mozilla 提供的免費服務，監控你的郵件地址是否被洩漏。

定期檢查可以讓你及早發現問題。如果你的郵件地址出現在新的洩漏事件中，你可以立即改變密碼、啟用雙因素認證，或者刪除那個帳號。

1. 支持重視隱私的公司

有些公司是真的在保護用戶資料（例如 Signal、ProtonMail、Fastmail）。支持它們。用你的錢和時間投票。

這聽起來很小，但市場是有力量的。如果用戶開始選擇那些重視隱私的服務，其他公司就會被迫改變它們的做法。

1. 最小化原則

只在必要時提供資料。如果一個服務要求你的電話號碼、出生日期、地址，問問自己：這些資料真的必要嗎？如果答案是否定的，就不要提供。

許多網站使用「預設勾選」的方式，讓你在註冊時自動同意分享資料或訂閱行銷郵件。記得取消這些選項。

結局還是開始？

BrowserStack 和 Apollo 的故事，可能很快就會被下一個醜聞取代。

但它提醒了我們一個重要的事實：在數位時代，我們的個人資料是我們最寶貴的資產之一。但這個資產往往在我們不知道、沒有同意的情況下，被轉手、出售、外洩。

我們能改變這個嗎？也許能，也許不能。

但至少，我們可以不再接受這種「常態」。至少，我們可以說：「這不對。」

Edison 的故事還沒有結束——他說下一篇部落格文章將揭示另一家公司如何洩漏了他的電話號碼。而這些故事，可能只是冰山的一角。

真正重要的是，我們不再沉默。當資料被洩漏，我們有權利知道。當公司違背承諾，我們有權利抗議。當資料變成商品，我們有權利說不。

這或許是唯一重要的事情。