LinkedIn está procurando as extensões de navegador dos usuários

 (browsergate.eu)
2 pontos por GN⁺ 27 일 전 | 1 comentários | Compartilhar no WhatsApp
  • Foi confirmado que o LinkedIn está vasculhando secretamente as extensões de navegador dos usuários e enviando os resultados para seus próprios servidores e para servidores de terceiros
  • Esse processo é executado sem consentimento nem aviso ao usuário e não está descrito na política de privacidade do LinkedIn
  • Os alvos da varredura incluem extensões que podem revelar informações sensíveis, como posição política, religião, deficiência e atividade de busca de emprego
  • Com isso, o LinkedIn consegue identificar empresas que usam produtos concorrentes e há casos em que ameaçou sancionar usuários de ferramentas de terceiros
  • A Fairlinked e.V. classifica isso como uma violação massiva de privacidade e ato de espionagem corporativa, e está promovendo ações legais e denúncias públicas

Suspeitas de busca ilegal por extensões de navegador pelo LinkedIn

  • Foi confirmado que o LinkedIn está procurando secretamente extensões de navegador instaladas no computador dos usuários e enviando os resultados para seus próprios servidores e para servidores de terceiros
    • Esse código é executado sem consentimento nem aviso ao usuário, e nada relacionado a isso está especificado na política de privacidade do LinkedIn
    • Os dados coletados também são enviados a empresas terceiras, como a HUMAN Security (antiga PerimeterX)
  • Como o LinkedIn possui informações como nome real, empresa e cargo do usuário, a varredura é feita não sobre visitantes anônimos, mas em nível de pessoas e empresas identificáveis
    • Com isso, uma estrutura é criada na qual informações internas de milhões de empresas no mundo todo são coletadas diariamente
    • Segundo a investigação, essa prática pode ser ilegal ou até constituir crime em todas as jurisdições analisadas

Entidade da investigação e objetivo

  • A Fairlinked e.V. é uma associação de usuários comerciais do LinkedIn, representando profissionais, empresas e desenvolvedores de ferramentas que dependem da plataforma
  • BrowserGate é a investigação e campanha conduzida por esse grupo, com o objetivo de registrar um caso de espionagem corporativa em massa e violação de privacidade, informar o público e órgãos reguladores, e levantar provas e recursos para ações legais

Principais descobertas

  • Violação massiva de privacidade

    • A varredura do LinkedIn detecta extensões que podem revelar religião, inclinação política, condição de deficiência e atividade de busca de emprego do usuário
    • Entre os exemplos estão extensões para fiéis muçulmanos, extensões relacionadas a posicionamento político, ferramentas para usuários neurodivergentes e 509 extensões relacionadas à busca de emprego
    • Esses dados se enquadram em categorias cuja coleta é proibida pela legislação da UE, e o LinkedIn a realiza sem consentimento, divulgação ou base legal

  • Espionagem corporativa e apropriação de segredos comerciais

    • O LinkedIn varre mais de 200 produtos que competem com suas ferramentas comerciais, como Apollo, Lusha e ZoomInfo
    • Com as informações sobre o empregador do usuário, ele pode identificar quais empresas usam quais produtos concorrentes, o que resulta na extração não autorizada da lista de clientes de milhares de empresas de software
    • Há casos em que o LinkedIn usou esses dados para enviar ameaças de sanção a usuários de ferramentas de terceiros

  • Evasão regulatória na UE

    • Em 2023, a UE designou o LinkedIn como gatekeeper sob o Digital Markets Act (DMA) e ordenou que permitisse o acesso de ferramentas de terceiros
    • Em resposta, o LinkedIn publicou duas APIs limitadas, mas elas permitem apenas 0,07 chamadas por segundo
    • Já a API interna Voyager opera com 163.000 chamadas por segundo, sustentando todos os produtos web e mobile
    • No relatório de 249 páginas da Microsoft à UE, “API” aparece 533 vezes, mas “Voyager” não é mencionado uma única vez
    • Ao mesmo tempo, o LinkedIn ampliou o escopo da vigilância, expandindo a lista de varredura de cerca de 461 produtos em 2024 para mais de 6.000 em fevereiro de 2026
    • Quando a UE exigiu abertura para ferramentas de terceiros, o LinkedIn construiu um sistema para vigiar e punir usuários

  • Transferência de dados a terceiros

    • O LinkedIn carrega um elemento invisível de rastreamento (0 pixel) da HUMAN Security e define cookies sem que o usuário perceba
    • Scripts de fingerprinting são executados a partir dos próprios servidores do LinkedIn, e scripts do Google também rodam em cada carregamento de página
    • Todas essas transferências de dados são criptografadas e não divulgadas externamente

Pedido de apoio

  • A Microsoft possui 33.000 funcionários e um orçamento jurídico de US$ 15 bilhões
  • A Fairlinked obteve evidências, mas precisa de pessoal e apoio financeiro para ações legais
  • Pelo site, o grupo pede ações como participação, apoio financeiro e envio de denúncias à imprensa

Leituras relacionadas

1 comentários

 
GN⁺ 27 일 전
Comentários do Hacker News

  • O título parece um pouco exagerado
    Na prática, a estrutura é a seguinte: sempre que o LinkedIn é aberto em um navegador baseado em Chrome, um JavaScript vasculha silenciosamente as extensões do navegador instaladas, criptografa o resultado e o envia ao servidor
    Esse comportamento parece invasivo, mas também parece ser um tipo de coleta de impressão digital do navegador (fingerprinting), algo comum hoje em sites com código de anúncios
    Ainda assim, a forma de consultar IDs de extensões específicas uma a uma provavelmente se deve a limitações da API
    É problemático, mas não concordo com um enquadramento excessivamente alarmista
    É por isso que eu uso bloqueador de anúncios

    • Fica a dúvida se vasculhar extensões do navegador não é, no fim das contas, escanear o computador
      O motivo de o Chrome ter randomizado o extensionId no V3 foi justamente impedir esse tipo de prática
      Se o LinkedIn incluiu até extensões ligadas a religiões específicas na lista, isso não parece simples necessidade técnica, mas uma escolha deliberada
    • Acho que o problema está justamente em tratar esse comportamento como algo ‘esperado’
      Bloqueadores de anúncios não são uma defesa perfeita, e extração de informação e manipulação de comportamento continuam surgindo de novas formas
    • É surpreendente viver em um mundo em que até o FBI recomenda bloqueadores de anúncios
      Mas, se todo mundo realmente fizesse isso, boa parte da economia da internet entraria em colapso
      É irônico o FBI dizer: “proteja-se do modelo de negócios da terceira maior empresa do mundo”
    • Não vejo absolutamente nenhum motivo para o LinkedIn ficar olhando minhas extensões
      É preciso se opor fortemente a esse tipo de prática
    • Isso já foi objeto de engenharia reversa várias vezes
      A lista de extensões que o LinkedIn verifica é composta majoritariamente por ferramentas de spam e scraping, e não inclui bloqueadores de anúncios comuns
      Como usuários autenticados não precisariam de fingerprinting, é provável que o objetivo seja apenas detectar ferramentas de automação

  • Esta é a posição oficial do LinkedIn
    Dizem que a conta de quem levantou a questão foi restringida por scraping e violação dos termos, e que ele estaria espalhando alegações falsas em retaliação
    O LinkedIn explica que detecta extensões de extração não autorizada de dados para proteger os dados dos membros e a estabilidade do site
    Como extensões expõem URLs fixas de recursos, é possível verificar sua presença, e isso seria algo visível até no console do desenvolvedor
    Afirmam que esses dados são usados apenas para detectar violações dos termos e melhorar defesas técnicas, e não para inferir informações sensíveis
    Também acrescentam que tribunais alemães decidiram a favor do LinkedIn

    • Nenhum objetivo justifica violação de privacidade
      Se houver risco de expor inclinações políticas, religiosas ou sexuais do usuário, isso é um problema muito mais grave do que fazer cumprir termos de uso
      Seria possível simplesmente bloquear contas com tráfego excessivo; não entendo por que recorrer a um método tão invasivo
      Vale lembrar que, quando o LinkedIn ainda estava crescendo, já raspou catálogos de endereços de usuários sem autorização para enviar e-mails
    • Queria perguntar se o LinkedIn pode divulgar essa suposta ‘lista de extensões maliciosas’
    • Há quem reaja dizendo que é difícil confiar quando só se fazem alegações sem apresentar provas
    • Microsoft e LinkedIn já mentiram sobre coleta de dados no passado, então é difícil acreditar
    • Há também a reação cínica de que a Microsoft, investidora da OpenAI, não teria moral para criticar violação de propriedade intelectual

  • Eu nem tenho conta no LinkedIn, e mesmo assim havia um perfil falso criado em meu nome
    Ele aparecia associado à empresa para a qual estou prestando consultoria, e, quando enviei um e-mail de reclamação, o LinkedIn mandou uma mensagem confirmando a remoção
    Mesmo sem conta, o LinkedIn pode criar perfis automaticamente, então convém ficar atento

    • Fico curioso sobre como isso é possível
      Será que a empresa sobe uma lista de funcionários? Será por integração com conta Microsoft? O caminho exato não está claro
      Também queria saber se existe algum procedimento para assumir ou apagar esse perfil
    • Também pode ser uma conta fraudulenta fingindo ser a pessoa real
      Desde a expansão do trabalho remoto, esses casos aumentaram, e bastam alguns pagamentos de salário para já compensar, então isso ocorre com frequência
    • Talvez esse caso seja a única pista que explique por que o LinkedIn faz esse tipo de coisa

  • Alguns anos atrás, esse tipo de fingerprinting não autorizado seria considerado spyware
    O que o LinkedIn faz agora, chamado de ‘spectroscopy’, combina detecção de extensões com análise de resíduos no DOM
    É difícil bloquear com ad blocker, e mesmo sair do Chrome não garante defesa completa
    No fim, é preciso um modo de privacidade real no nível do fabricante do navegador

    • Na verdade, serviços como o reCAPTCHA já usam fingerprinting de navegador há mais de 15 anos
      A detecção de extensões é menos comum, mas o fingerprinting em si já é uma prática antiga
      Testei a vulnerabilidade do meu navegador em fingerprint.com/demo
    • A Microsoft sempre fez isso: prender produtos inferiores ao mercado
      Windows, Office, SharePoint e LinkedIn, todos entram nisso

  • O fato de o LinkedIn detectar até extensões como filtro de conteúdo islâmico, tags antissionistas e ferramentas de apoio à neurodiversidade representa uma quebra de confiança gravíssima

    • Muitas dessas extensões podem, na verdade, ser extensões maliciosas voltadas a roubo de dados
      Por fora parecem temas sociais ou ferramentas de acessibilidade, mas por dentro muitas vezes extraem dados do usuário
    • Isso é apenas parte de segmentação publicitária ou fingerprinting, não um problema exclusivo da Microsoft
      A erosão da confiança na internet vem acontecendo há décadas
    • Acho que esse tipo de ideia não nasce de um executivo maligno, mas de funcionários que colocaram dinheiro acima da moral
    • Ao olhar a lista de extensões detectadas pelo LinkedIn, há várias que revelam orientação política, como ‘Anti-woke’, ‘Vote With Your Money’ e ‘No more Musk’

  • Acho que o simples fato de sites conseguirem detectar extensões específicas já é um problema
    Se houver uma necessidade legítima, a própria extensão deveria poder escolher em quais sites se expõe

    • Na prática, extensões são configuradas para ativar só em certos sites, e sua presença pode ser confirmada por meio dos arquivos públicos de recursos expostos nesse momento
      O LinkedIn está escaneando mais de 6.000 extensões dessa forma
      Antes eram cerca de 100; agora a prática ficou muito mais agressiva

  • Eu separo navegador pessoal e de trabalho usando cgroups e jail diferentes
    Dá trabalho configurar, mas fico tranquilo por não misturar privacidade com dados profissionais
    Recomendo ao menos separar dois perfis: um público e um privado
    Não quero que a Microsoft saiba se instalei uma extensão tipo ‘Otaku Neko StarBlazers Tru-Fen Extendomatic’

    • Eu também mantenho um perfil separado do Firefox para conteúdo adulto
    • Teve até quem disse que foi procurar essa extensão de verdade
    • Qubes OS combina muito bem com esse tipo de ambiente isolado. Uso no dia a dia e recomendo fortemente

  • No fim, este caso mostra uma falha do sandbox do Chrome
    Uma solução técnica pode ser mais simples e eficaz do que regulação jurídica

    • Extensões do Chrome expõem arquivos internos via manifest.json e web_accessible_resources
      O LinkedIn usa essa estrutura para verificar instalação por meio de requisições fetch
      Fico em dúvida se isso foi realmente uma decisão intencional de design
    • Segundo este comentário relacionado, a questão não é tão simples assim
    • Também é um problema que os desenvolvedores do Chrome não pareçam muito motivados a impedir rastreamento
      Defesa técnica e indignação ética precisam andar juntas

  • Não há motivo para confiar em big tech
    Para proteger a privacidade, é preciso usar recursos de contêiner do navegador
    A extensão LinkedIn Container que eu criei isola a atividade do LinkedIn no Firefox
    Pretendo melhorar a extensão para que ela passe a bloquear também as tentativas de escaneamento do LinkedIn

  • Embora isso tudo seja horrível, ao mesmo tempo é tecnicamente impressionante que o JavaScript consiga processar em paralelo mais de 6.000 fetch
    O fato de esse nível de eficiência ser possível mesmo sem passar pela pilha de rede mostra o quanto o JS evoluiu