LinkedIn приховано збирає дані про програмне забезпечення, встановлене на комп'ютерах користувачів соціальної мережі

Німецька асоціація комерційних користувачів LinkedIn Fairlinked e.V., яка ініціювала кампанію «BrowserGate», заявила, що LinkedIn, що належить Microsoft, приховано перевіряє в браузерах на базі Chromium встановлені розширення, звіряє їх з переліком з більш ніж 6167 позицій, пов'язує результати з реальними іменами, роботодавцями та посадами користувачів і передає ці відомості на свої сервери та стороннім компаніям.

Джерело зображення: Greg Bulla / unsplash.com

Перевірка запускається при кожному завантаженні сторінки LinkedIn у браузерах Chrome, Edge, Brave, Opera та Arc після спрацьовування вбудованої функції isUserAgentChrome(). Код намагається звернутися до файлів, які розширення можуть зробити доступними для сайтів: якщо файл відкривається, система фіксує, що розширення встановлено; якщо ні — вважає, що його немає. Уся процедура займає мілісекунди і залишається непомітною для користувача. За наявними даними, Firefox і Safari цією перевіркою поки не торкнулися.

Збір даних, за твердженням дослідників, не обмежується власною інфраструктурою LinkedIn. Команда «BrowserGate» виявила невидимий елемент стеження, що завантажується з серверів HUMAN Security (раніше PerimeterX), американо-ізраїльської компанії в галузі кібербезпеки. Йдеться про прихований елемент нульової ширини, який без відома користувача встановлює файли cookie.

Джерело зображення: cybersecuritynews.com

Особливу чутливість цієї практики автори розслідування пояснюють специфікою самої LinkedIn: сервіс об'єднує більше 1 млрд користувачів і працює з даними, прив'язаними до реальних імен, роботодавців і посад. Тому кожне виявлене розширення можна співвіднести з конкретною людиною, а в сукупності — відновити, якими програмними засобами користуються цілі компанії. Серед 6222 відстежуваних розширень дослідники виділили 509 інструментів пошуку роботи, включаючи Indeed, Glassdoor і Monster, ознаки релігійної приналежності, політичних поглядів, інвалідності та особливостей нейроразвитку, а також більше 200 продуктів прямих конкурентів, зокрема Apollo, Lusha, ZoomInfo і Hunter.io.

Основний юридичний ризик дослідники бачать у тому, що Загальний регламент з захисту даних (GDPR) Європейського Союзу відносить відомості про релігійні переконання, політичні погляди та стан здоров'я до даних особливих категорій. Їх обробка допускається тільки за наявності явно вираженої згоди, якої, за твердженням Fairlinked e.V., LinkedIn не отримувала. Сама практика збору також не була розкрита користувачам. Fairlinked e.V. окремо стверджує, що LinkedIn використовувала приховану перевірку, щоб виявляти користувачів сторонніх інструментів, і вже направляла їм юридичні претензії. Окрім GDPR, серед можливих підстав для розглядів названі Директива про конфіденційність та електронні комунікації (ePrivacy Directive) і Закон про цифрові ринки (DMA).

Джерело зображення: Souvik Banerjee / unsplash.com

За даними розслідування, масштаб перевірки користувачів LinkedIn різко зріс. Перелік відстежуваних розширень збільшився приблизно з 461 у 2024 році до більш ніж 6000 до лютого 2026 року, тобто на 1252 %. LinkedIn, зі свого боку, стверджувала, що за кампанією «BrowserGate» стоїть людина, чий обліковий запис було заблоковано за порушення умов використання сервісу. Незалежні дослідники, на яких посилається матеріал, відносять початок цієї практики як мінімум до 2017 року, коли LinkedIn перевіряла 38 розширень. Сукупну аудиторію розширень, що потрапили під таку перевірку, автори розслідування оцінюють у 405 млн осіб. Регулятори в ЄС вже повідомлені, очікуються юридичні розгляди, а користувачі LinkedIn у браузерах на базі Chromium, за версією розслідування, досі щодня потрапляють під цю приховану перевірку.

Користувачі, яких це турбує, можуть вжити кілька заходів. Для доступу до LinkedIn автори матеріалу рекомендують перейти на браузери Firefox або Safari: цей спосіб виявлення розширень спирається на архітектуру розширень Chrome, тоді як Firefox не дозволяє застосовувати такий метод. Ще один варіант — створити в Chrome окремий профіль тільки для LinkedIn і не встановлювати в нього жодних розширень, розірвавши таким чином ланцюг стеження. Також можна використовувати браузер Brave з увімкненою захистом від цифрового відбитка, яка блокує сам механізм виявлення. Нарешті, автори радять перевірити встановлені розширення через загальнодоступну пошукову базу BrowserGate, щоб з'ясувати, чи відстежуються вони.

Хочеш дізнатися більше — читай відгуки