Каждый раз, когда пользователь заходит на LinkedIn в браузере на основе Chrome, скрытый JavaScript-скрипт автоматически проверяет наличие более 6000 установленных расширений и собирает 48 характеристик аппаратного и программного обеспечения устройства. Полученные данные шифруются и прикрепляются к каждому запросу API во время сессии.
Эта практика, названная исследователями «BrowserGate», не раскрывается в политике конфиденциальности платформы.
Технические детали системы
LinkedIn называет свою систему сканирования «Spectroscopy». При загрузке сайта скрипт отправляет до 6222 одновременных запросов, проверяя наличие конкретных расширений по их идентификаторам.
Помимо расширений, собираются данные о: - количестве ядер процессора - доступной памяти - разрешении экрана - часовом поясе - настройках языка - статусе батареи - других параметрах
В совокупности эти характеристики формируют уникальный цифровой отпечаток устройства, который позволяет идентифицировать пользователя даже после очистки *cookies*.
Цели сканирования
Список сканируемых расширений включает более 200 продуктов, которые конкурируют с инструментами продаж LinkedIn, таких как Apollo, Lusha и ZoomInfo.
Поскольку платформа знает работодателя каждого зарегистрированного пользователя, систематическая проверка наличия инструментов конкурентов дает LinkedIn информацию о том, какие компании оценивают или внедряют аналогичные продукты.
В список также входят расширения, связанные с нейроразнообразием, религиозной практикой, политическими интересами и поиском работы — категории, которые в Европейском союзе квалифицируются как особые персональные данные.
Реакция и регуляторный контекст
LinkedIn оспаривает многие выводы отчета, утверждая, что сканирование является мерой безопасности для защиты данных пользователей и стабильности сайта. Компания заявила, что не использует собранные данные для выявления конфиденциальной информации о пользователях.
Это не первый случай, когда LinkedIn сталкивается с вопросами о защите данных в Европе. В октябре 2024 года Ирландская комиссия по защите данных оштрафовала компанию на 310 миллионов евро за обработку персональных данных для целевой рекламы без надлежащего правового основания.
Вопрос о том, является ли сканирование тысяч расширений обработкой особых категорий персональных данных и нарушает ли оно *GDPR*, остается открытым.
Последствия для пользователей
У LinkedIn более миллиарда зарегистрированных пользователей, большинство из которых используют браузеры на основе Chrome. Это означает, что сканирование выполняется на устройствах значительной части мировой профессиональной рабочей силы.
Платформа не предлагает возможности отказаться от этой практики, поскольку не раскрывает ее в своей политике конфиденциальности. Пользователи могут ограничить сбор данных, используя браузеры, не основанные на Chromium, такие как Firefox, но это не гарантирует полной защиты.
Отчет был опубликован европейской ассоциацией коммерческих пользователей LinkedIn Fairlinked e.V. и независимо подтвержден BleepingComputer, который верифицировал сканирование путем собственного тестирования.
Комментариев пока нет — может, вы будете первым?