LinkedIn dyskretnie zbiera informacje o zainstalowanych produktach programowych na urządzeniach swoich użytkowników.

Organizacja niemiecka Fairlinked e.V. ujawniła tajną „kontrolę” LinkedIn

> Kto:

> *Fairlinked e.V.* – stowarzyszenie komercyjnych użytkowników LinkedIn w Niemczech, które zainicjowało śledztwo pod nazwą „BrowserGate”.

> Co odkryli:

> LinkedIn (własność Microsoft) dyskretnie skanuje rozszerzenia przeglądarek opartych na Chromium (Chrome, Edge, Brave, Opera, Arc), aby ustalić, które dokładnie wtyczki są zainstalowane u każdego użytkownika. Za każdym razem, gdy otwierana jest strona LinkedIn, uruchamiana jest funkcja *isUserAgentChrome()*, która próbuje otworzyć pliki, do których mogą mieć dostęp rozszerzenia. Jeśli plik jest dostępny – rozszerzenie uznaje się za zainstalowane; jeśli nie – zakłada się, że go nie ma. Cały proces trwa milisekundy i jest niewidoczny dla użytkownika.

> Jakie dane są zbierane:

> 1. Lista zainstalowanych rozszerzeń (ponad 6167 elementów).

> 2. Powiązanie tych rozszerzeń z prawdziwymi imionami, pracodawcami i stanowiskami użytkowników.

> 3. Informacje o tym, jakie dokładnie narzędzia używają pracownicy firm.

> Jak to się robi:

> * LinkedIn przekazuje wyniki na swoje serwery oraz do firm zewnętrznych.

> * W trakcie odkryto „niewidzialny” komponent śledzący od firmy HUMAN Security (dawniej PerimeterX) – element o zerowej szerokości, który bez wiedzy użytkownika ustawia ciasteczka.

> Dlaczego to ważne:

> LinkedIn łączy ponad 1 miliard użytkowników i przechowuje dane powiązane z prawdziwymi imionami. Oznacza to, że każde znalezione rozszerzenie można skojarzyć z konkretną osobą, a w sumie – z działalnością całej firmy (np. które usługi rekrutacyjne używają pracownicy).

> Co znaleźli badacze:

> * 509 narzędzi do poszukiwania pracy (Indeed, Glassdoor, Monster).

> * Rozszerzenia wskazujące na przynależność religijną, poglądy polityczne, niepełnosprawność i cechy neurorozwoju.

> * Ponad 200 konkurencyjnych usług (Apollo, Lusha, ZoomInfo, Hunter.io).

> Ryzyko prawne:

> * GDPR klasyfikuje dane o religii, polityce i zdrowiu jako „kategorie szczególne”. Ich przetwarzanie jest możliwe tylko przy wyraźnej zgodzie. Według Fairlinked e.V., LinkedIn nie uzyskał takiej zgody, a użytkownicy nawet nie zostali poinformowani o zbieraniu danych.

> * Możliwe roszczenia na podstawie dyrektywy ePrivacy oraz Digital Markets Act (DMA).

> Skala praktyki:

> Lista śledzonych rozszerzeń wzrosła z 461 w 2024 roku do ponad 6000 do lutego 2026 – wzrost o 1252 %.

> * LinkedIn twierdzi, że „BrowserGate” to działalność jednego użytkownika, którego konto zostało zablokowane.

> * Niezależne źródła wskazują, że skanowanie rozpoczęło się przynajmniej w 2017 roku (38 rozszerzeń).

> * Szacunkowa liczba odbiorców: ≈ 405 milionów użytkowników LinkedIn z zainstalowanymi śledzonymi rozszerzeniami.

> Stan procesu regulacyjnego:

> Regulatorzy UE już zostali powiadomieni. Oczekuje się postępów prawnych. Użytkownicy korzystający z przeglądarek opartych na Chromium nadal podlegają ukrytej kontroli codziennie.

> Co użytkownicy mogą zrobić:

1. Przejść na Firefox lub Safari – te przeglądarki nie używają architektury rozszerzeń Chrome i tym samym nie są poddawane skanowaniu LinkedIn.

2. Wyłączyć automatyczne uruchamianie rozszerzeń w ustawieniach przeglądarki, jeśli to możliwe.

3. Używać rozszerzeń z otwartym kodem źródłowym, które pozwalają kontrolować dostęp do plików.

4. Sprawdzać uprawnienia przy zainstalowanych wtyczkach i usuwać te, które nie są potrzebne.

> Podsumowanie:

> LinkedIn stosuje ukryty mechanizm wykrywania rozszerzeń użytkowników na przeglądarkach opartych na Chromium, łączy je z danymi osobowymi i przekazuje tę informację firmom zewnętrznym. Powoduje to poważne wątpliwości dotyczące prywatności oraz przestrzegania GDPR, a także może stać się przedmiotem dochodzeń regulacyjnych w UE. Użytkownicy mogą chronić się, przełączając na alternatywne przeglądarki lub ograniczając dostęp rozszerzeń.