Advertentie
LinkedIn scant mogelijk op grote schaal browsers van bezoekers op geïnstalleerde extensies en verzamelt daarbij aanvullende apparaatdata. Dat blijkt uit een nieuw rapport onder de naam “BrowserGate”, dat deels werd bevestigd door BleepingComputer.
Volgens het onderzoek injecteert LinkedIn verborgen JavaScript-code in zijn website, die controleert welke extensies in een browser aanwezig zijn. In totaal zou het gaan om meer dan 6.000 Chrome-extensies.
Browser wordt actief gescand
De techniek werkt via een bekende methode waarbij websites proberen toegang te krijgen tot specifieke bestanden die door extensies worden blootgesteld. Als zo’n bestand bereikbaar is, weet de site dat de extensie geïnstalleerd is.
Volgens tests van BleepingComputer wordt bij elk bezoek aan LinkedIn een script geladen dat deze controles uitvoert. Daarbij wordt gekeken naar duizenden extensies, een aantal dat de afgelopen jaren sterk is toegenomen van ongeveer 2.000 naar ruim 6.200.
Ook hardware- en profieldata verzameld
Naast extensies verzamelt LinkedIn ook uitgebreide apparaat- en browserinformatie, waaronder:
- Aantal CPU-cores
- Beschikbare geheugen
- Schermresolutie
- Taal- en tijdzone-instellingen
- Batterijstatus en opslaginformatie
Deze gegevens worden vaak gebruikt voor zogeheten browser fingerprinting, waarmee unieke profielen van gebruikers kunnen worden opgebouwd.
Omdat LinkedIn-accounts gekoppeld zijn aan echte namen, werkgevers en functies, kan deze data potentieel direct aan personen worden gelinkt.
Focus op concurrerende tools
Opvallend is dat de scan zich volgens het rapport ook richt op extensies van concurrerende diensten, zoals tools voor sales intelligence. Daarmee zou LinkedIn inzicht kunnen krijgen in welke bedrijven bepaalde software gebruiken.
Het rapport stelt zelfs dat LinkedIn op basis van deze gegevens actie heeft ondernomen tegen gebruikers van bepaalde tools, al kon niet alles daarvan onafhankelijk worden bevestigd.
LinkedIn: bedoeld voor beveiliging
LinkedIn zelf erkent dat het extensies detecteert, maar stelt dat dit gebeurt om misbruik tegen te gaan. Volgens het bedrijf worden extensies opgespoord die data scrapen of de gebruiksvoorwaarden schenden.
Het platform zegt daarnaast dat de verzamelde gegevens niet worden gebruikt om gevoelige informatie over gebruikers af te leiden.
Privacyvragen blijven
Hoewel een deel van de functionaliteit technisch verklaarbaar is, roept de schaal en onzichtbaarheid van de scan vragen op. Vergelijkbare technieken worden vaker gebruikt voor tracking, maar zelden op deze omvang en in combinatie met real-world identiteiten.
De bevindingen tonen hoe ver browser fingerprinting kan gaan wanneer platforms controle hebben over zowel technische data als identiteitsgegevens. In combinatie met de groei van AI en data-analyse kan dat leiden tot steeds gedetailleerdere gebruikersprofielen, vaak zonder dat gebruikers zich daarvan bewust zijn.