LinkedIn scanează în secret peste 6.000 de extensii de browser și îți identifică dispozitivul
Conform thenextweb.com, de fiecare dată când vizitezi LinkedIn într-un browser bazat pe Chrome, o rutină JavaScript ascunsă analizează în tăcere browserul tău pentru peste 6.000 de extensii instalate, colectează 48 de caracteristici hardware și software despre dispozitivul tău, criptează amprenta rezultată și o atașează la fiecare cerere API pe care o faci în timpul sesiunii tale. Această practică, denumită „BrowserGate” de cercetători, nu este divulgată în politica de confidențialitate a LinkedIn.
👉 Descrierea metodei de scanare și modul în care funcționează
LinkedIn susține că este o măsură de securitate; critici afirmă că este o supraveghere secretă a comportamentului de navigare al unui miliard de utilizatori la scară industrială. Există o rutină care rulează pe computerul tău de fiecare dată când deschizi LinkedIn. Nu o poți vedea, nu ai fost informat despre ea, iar aceasta nu este descrisă în politica de confidențialitate a companiei. Potrivit unei investigații publicate la începutul lunii aprilie 2026 de Fairlinked e.V., o asociație europeană de utilizatori comerciali ai LinkedIn, platforma injectează un pachet JavaScript de 2,7 MB în site-ul său care scanează în tăcere browserele vizitatorilor pentru prezența a peste 6.000 de extensii Chrome specifice, asamblează o amprentă detaliată a hardware-ului lor, o criptează și transmite rezultatul către serverele LinkedIn, unde este atașat fiecărei acțiuni ulterioare efectuate în timpul sesiunii.
Investigația, confirmată independent de BleepingComputer, care a verificat comportamentul de scanare prin propriile teste, a fost denumită „BrowserGate”. LinkedIn contestă multe dintre caracterizările raportului. Faptele tehnice nu sunt disputate. LinkedIn numește sistemul său de scanare „Spectroscopy”. Atunci când un utilizator încarcă site-ul LinkedIn, scriptul generează până la 6.222 de cereri simultane, fiecare încercând să acceseze fișiere asociate cu ID-ul specific al extensiei. Prezența sau absența unui fișier în răspuns indică dacă extensia este instalată. Întreaga operațiune se desfășoară în tăcere în fundal, fără un prompt sau o notificare vizibilă de niciun fel.
👉 Detalii privind datele colectate și scopurile scanării
Dincolo de extensii, scriptul colectează 48 de caracteristici distincte ale dispozitivului utilizatorului: numărul de nuclee CPU, memoria disponibilă, rezoluția ecranului, fusul orar, setările de limbă, starea bateriei, informațiile despre hardware-ul audio și capacitatea de stocare, printre altele. Individual, aceste atribute sunt nesemnificative. Combinat, formează o amprentă de dispozitiv suficient de specifică pentru a identifica un utilizator chiar și după ștergerea cookie-urilor. Odată compilate, datele sunt serialize în JSON și criptate folosind o cheie publică RSA, identificatorul intern al LinkedIn pentru cheie fiind „apfcDfPK”, înainte de a fi transmise către punctele de telemetrie, inclusiv li/track și /platform-telemetry/li/apfcDf. Amprenta este apoi injectată permanent ca un header HTTP în fiecare cerere API efectuată în timpul sesiunii, ceea ce înseamnă că LinkedIn o primește cu fiecare căutare, fiecare vizionare de profil, fiecare mesaj trimis.
Întrebarea despre ce extensii scanează LinkedIn face ca supravegherea să fie mai sensibilă decât ar necesita simpla detectare a fraudei. Potrivit raportului BrowserGate, lista LinkedIn include peste 200 de produse care concurează direct cu propriile sale instrumente de vânzare, printre care Apollo, Lusha și ZoomInfo. Deoarece LinkedIn cunoaște angajatorul fiecărui utilizator înregistrat, scanarea sistematică a prezenței instrumentelor concurente oferă platformei vizibilitate asupra companiilor care evaluează sau implementează produse rivale. Lista include, de asemenea, instrumente asociate cu condiții neurodivergente, practici religioase, interese politice și activități de căutare a locurilor de muncă, categorii care, în Uniunea Europeană, califică drept date personale sensibile supuse unei protecții sporite conform Regulamentului General privind Protecția Datelor (GDPR).
Cunoașterea faptului că un utilizator folosește o extensie de căutare a locurilor de muncă, de exemplu, este o inferență semnificativă despre intențiile sale de angajare, derivată fără consimțământ. Scara operațiunii a crescut considerabil în timp. LinkedIn a început să scaneze pentru 38 de extensii specifice în 2017. Până în 2024, acest număr crescuse la 461. Până în februarie 2026, lista a ajuns la 6.167, o creștere de 1.252% în doi ani. Testarea BleepingComputer a confirmat că scanarea a fost activă la începutul lunii aprilie 2026.
Răspunsul LinkedIn către BleepingComputer a fost ferm. „Afirmatiile făcute pe site-ul legat aici sunt complet greșite”, a declarat un purtător de cuvânt. „Persoana responsabilă pentru acestea este supusă unei restricții de cont pentru scraping și alte încălcări ale termenilor de serviciu ai LinkedIn. Pentru a proteja intimitatea membrilor noștri, datele lor și pentru a asigura stabilitatea site-ului, căutăm extensiile care fac scraping de date fără consimțământul membrilor sau care încalcă altfel termenii de serviciu ai LinkedIn.” Compania a adăugat că nu folosește datele pentru a „infirma informații sensibile despre membri”. Caracterizarea sursei de către platformă este importantă.
Fairlinked e.V. este conectată la Teamfluence Signal Systems OÜ, o companie estoniană ale cărei directori generali includ pe Steven Morell și Jan Liebling. Teamfluence produce o extensie Chrome, numită tot Teamfluence, pe care LinkedIn a restricționat-o pentru încălcări presupuse ale termenilor de serviciu. Compania a formulat ulterior o cerere de interdicție preliminară împotriva LinkedIn Ireland Unlimited Company și LinkedIn Germany GmbH la Tribunalul Regional din München, acuzând încălcări ale Actului privind Piețele Digitale, legislația concurențială din UE și normele germane privind protecția datelor. În ianuarie 2026, tribunalul din München a respins cererea de interdicție, constatând că acțiunile LinkedIn nu constituie o obstrucționare sau discriminare ilegală.
Disputa financiară dintre părți nu schimbă constatările tehnice, care au fost verificate independent. Acest lucru înseamnă că cadrul acestor constatări este contestat, iar cititorii ar trebui să cântărească atât substanța cererii, cât și proveniența acesteia. Aceasta nu este prima întâlnire serioasă a LinkedIn cu aplicarea protecției datelor în Europa. În octombrie 2024, Comisia Irlandeză pentru Protecția Datelor, care reglează LinkedIn în UE prin subsidiarea sa irlandeză, a amendat compania cu 310 milioane de euro, aproximativ 334 milioane de dolari, pentru procesarea datelor personale ale utilizatorilor pentru publicitate țintită fără o bază legală validă. Decizia a constatat că mecanismele de consimțământ ale LinkedIn nu respectau cerințele GDPR că consimțământul să fie „aconțimțit liber”. LinkedIn a fost ordonat să își aducă procesarea datelor în conformitate cu reglementările.
Investigația BrowserGate se încadrează în acest context. Chestiunea legală dacă scanarea a 6.000 de extensii de browser constituie procesarea de date personale de categorie specială și dacă lipsa de conștientizare a utilizatorilor asupra practicii face ca orice consimțământ implicat să fie invalid este exact tipul de întrebare pe care Comisia Irlandeză pentru Protecția Datelor a arătat deja că este dispusă să o adauge în instanță.
Cadru de reglementare digital în evoluție din Europa a avansat constant spre cerința unei divulgări explicite a tuturor colectărilor semnificative de date, iar o operațiune de scanare de această mărime, desfășurată fără nicio mențiune în politica de confidențialitate, pare greu de aliniat cu această direcție. LinkedIn este o subsidiară Microsoft, achiziționată în 2016 pentru 26,2 miliarde de dolari. Microsoft își extinde agresiv capabilitățile AI în 2026, cu vasta bază de date a LinkedIn privind identitățile profesionale și istoricul de angajare formând o parte semnificativă a infrastructurii de date pe care se bazează acele capabilități.
Legătura dintre practicile de colectare a datelor ale LinkedIn și ambițiile mai largi ale Microsoft în domeniul AI nu este abordată în politica de confidențialitate a LinkedIn. LinkedIn are mai mult de un miliard de utilizatori înregistrați. Majoritatea accesează platforma prin browsere bazate pe Chrome, ceea ce înseamnă că scanarea Spectroscopy rulează în mod obișnuit pe dispozitivele unei fracțiuni semnificative a forței de muncă profesionale globale, colectând o amprentă suficient de precisă pentru a persista pe parcursul resetărilor cookie și, potențial, pe diferite dispozitive.
Cu excepția utilizării unui browser non-Chromium, cum ar fi Firefox, care ar limita, dar nu ar elimina în mod necesar capacitățile de identificare ale LinkedIn, nu există o setare pentru utilizator care să împiedice scanarea. Platforma nu oferă o opțiune de renunțare, deoarece nu divulgă practica de la început. Imp