Wielki skandal z LinkedIn. Ukryte skrypty szpiegują miliony użytkowników

Jedna z najpopularniejszych platform społecznościowych, znalazła się pod ostrzałem za wykorzystanie nieetycznych technik skanowania. Zgodnie z doniesieniami, firma Microsoft, właściciel LinkedIn, używa skryptów JavaScript do szpiegowania użytkowników odwiedzających jej stronę. Celem jest zbieranie szczegółowych danych na temat rozszerzeń przeglądarki i urządzeń użytkowników, a także śledzenie ich aktywności.

Raport opracowany przez organizację Fairlinked eV ujawnia, że LinkedIn stosuje ukryte skrypty JavaScript, które skanują przeglądarki odwiedzających stronę w poszukiwaniu zainstalowanych rozszerzeń. W ciągu jednej wizyty na stronie, LinkedIn ma dostęp do szczegółowych informacji na temat ponad 6000 rozszerzeń przeglądarki. Te dane są następnie powiązywane z profilem użytkownika, co pozwala na zbieranie informacji o tym, jakiego oprogramowania używa osoba odwiedzająca stronę.

W raporcie wskazuje się, że LinkedIn skanuje także narzędzia konkurencyjnych firm sprzedażowych, takich jak Apollo, Lusha, czy ZoomInfo. Dzięki temu platforma jest w stanie uzyskać dostęp do listy klientów innych firm bez wiedzy użytkowników, co stwarza poważne wątpliwości dotyczące prywatności i wykorzystywania danych.

Wraz z rosnącym wykorzystaniem technik śledzenia, takich jak odciski palców przeglądarek, użytkownicy stają się coraz bardziej narażeni na niekontrolowane gromadzenie ich danych

Jakie dane zbiera LinkedIn?

Skrypty wstrzykiwane na stronę LinkedIn nie tylko zbierają dane o zainstalowanych rozszerzeniach. W procesie tym gromadzone są także dane o urządzeniu i przeglądarce użytkownika. Wśród danych, które są pozyskiwane, znajdują się takie informacje jak liczba rdzeni procesora, dostępna pamięć, rozdzielczość ekranu, strefa czasowa, a nawet stan baterii urządzenia.

Wszystkie te informacje mogą posłużyć do tworzenia unikalnych profili użytkowników, umożliwiając LinkedIn śledzenie ich działań na różnych stronach internetowych. Takie działania przypominają techniki "odcisków palców", które były wykorzystywane przez inne firmy do śledzenia użytkowników w internecie.

LinkedIn broni swoich działań

Pomimo poważnych zarzutów, LinkedIn twierdzi, że skrypty zostały zaimplementowane w celu ochrony platformy i jej użytkowników. Firma twierdzi, że wykrywanie rozszerzeń przeglądarki jest niezbędne, aby zapobiec naruszeniom warunków korzystania z usługi, takim jak scrapowanie treści czy pobieranie danych bez zgody użytkowników.

Firma stwierdziła, że gromadzenie danych odbywa się wyłącznie w celu poprawy zabezpieczeń platformy i wykrywania naruszeń, a nie w celach komercyjnych. LinkedIn odrzuca również oskarżenia o wykorzystywanie tych danych w sposób niezgodny z prawem, twierdząc, że wszystko odbywa się zgodnie z polityką prywatności i regulaminem.

LinkedIn twierdzi, że doniesienia o BrowserGate wynikają ze sporu z twórcą rozszerzenia przeglądarki związanego z LinkedIn o nazwie „Teamfluence”, które według LinkedIn zostało ograniczone z powodu naruszenia warunków platformy. Niemiecki sąd odrzucił wniosek dewelopera o wydanie nakazu tymczasowego, uznając, że działania LinkedIn nie stanowiły bezprawnego utrudniania działalności firmy ani dyskryminacji. Sąd stwierdził również, że automatyczne gromadzenie danych samo w sobie może stanowić naruszenie warunków korzystania z serwisu LinkedIn i że LinkedIn ma prawo zablokować konta w celu ochrony swojej platformy.

Poniżej oświadczenie firmy:
Twierdzenia zawarte na stronie internetowej, do której link znajduje się tutaj, są po prostu błędne. Osoba, która je zamieszcza, podlega ograniczeniom konta za scrapowanie i inne naruszenia Warunków korzystania z usługi LinkedIn.

Aby chronić prywatność naszych członków, ich dane i zapewnić stabilność witryny, sprawdzamy rozszerzenia, które zbierają dane bez zgody członków lub w inny sposób naruszają Warunki korzystania z usługi LinkedIn.

Oto dlaczego: niektóre rozszerzenia udostępniają zasoby statyczne (obrazy, JavaScript), które można wstrzyknąć na nasze strony internetowe. Obecność tych rozszerzeń możemy wykryć, sprawdzając, czy dany statyczny adres URL zasobu istnieje. To wykrycie jest widoczne w konsoli programistycznej Chrome. Wykorzystujemy te dane do określania, które rozszerzenia naruszają nasze warunki, do informowania i ulepszania naszych zabezpieczeń technicznych oraz do zrozumienia, dlaczego konto użytkownika może pobierać nadmierną ilość danych innych użytkowników, co na dużą skalę wpływa na stabilność witryny. Nie wykorzystujemy tych danych do wnioskowania o poufnych informacjach o użytkownikach.

Dla dodatkowego kontekstu, w odwecie za ograniczenie konta właściciela tej witryny, próbowali oni uzyskać nakaz sądowy w Niemczech, zarzucając LinkedIn naruszenie różnych przepisów. Sąd orzekł na ich niekorzyść, uznając, że ich roszczenia wobec LinkedIn są bezpodstawne, a praktyki tej osoby w zakresie danych osobowych były sprzeczne z prawem.

Niestety, jest to przypadek osoby, która przegrała w sądzie, ale teraz chce ponownie dochodzić swoich praw przed sądem opinii publicznej, nie zważając na dokładność argumentów.

Praktyki gromadzenia danych w Internecie

Sprawa LinkedIn nie jest pierwszym przypadkiem, w którym firmy wykorzystują agresywne techniki gromadzenia danych. Już w 2021 roku wykryto, że eBay używał skryptów JavaScript do automatycznego skanowania urządzeń użytkowników w celu wykrywania oprogramowania do zdalnego wsparcia. Takie działania są podejmowane w imię walki z oszustwami, ale również mogą budzić poważne kontrowersje związane z prywatnością.

W przypadku LinkedIn, technologia zbierania danych jest bardziej ukryta i stosowana na znacznie większą skalę. Praktyki takie mogą stanowić poważne zagrożenie dla prywatności użytkowników i rodzą pytania o to, jak takie dane są wykorzystywane i czy są odpowiednio chronione.

Reakcje na raport

Choć LinkedIn zaprzecza oskarżeniom o niewłaściwe wykorzystanie danych, sprawa zyskuje na znaczeniu, ponieważ pokazuje, jak łatwo wielkie platformy internetowe mogą gromadzić informacje o swoich użytkownikach. Zbieranie danych na temat rozszerzeń przeglądarki i urządzenia użytkowników może stanowić potencjalne naruszenie prywatności, zwłaszcza gdy użytkownicy nie są świadomi takich działań.

Co więcej, takie praktyki mogą prowadzić do dalszego podziału zaufania między użytkownikami a gigantami technologicznymi. W miarę jak coraz więcej osób staje się świadomych sposobów, w jakie ich dane są zbierane i wykorzystywane, takie przypadki mogą prowadzić do rosnących obaw o bezpieczeństwo w sieci.