Yeni bir güvenlik raporu, LinkedIn’in veri toplama uygulamalarıyla ilgili endişeleri artırdı ve platformun kullanıcıların cihazları ve yüklü yazılımları hakkında ayrıntılı bilgi toplamak için tarayıcı parmak izi alma komut dosyaları kullandığını iddia etti. Bulgular, sistemin standart sayfa yüklemelerinde çalıştığını ve kullanıcının açıkça haberdar olmadan veri toplayabileceğini gösteriyor.
BrowserGate güvenlik raporu LinkedIn’in politikasına dikkat çekiyor
İddialar, BleepingComputer tarafından bağımsız olarak test edilen Fairlinked e.V.’nin bir raporundan kaynaklanıyor. BleepingComputer’a göre, analiz, LinkedIn sayfalarının 6.000’den fazla Chrome uzantısını tarayabilen ve bellek, CPU yapılandırması ve ekran özellikleri gibi donanımla ilgili verileri toplayabilen JavaScript kodu içerdiğini ortaya koydu.
Komut dosyasının, her uzantıyla ilişkili bilinen dosya kaynaklarına erişmeye çalışarak 6.236 belirli Chrome uzantısını kontrol ettiği bildiriliyor. Tarayıcı parmak izinde yaygın olarak kullanılan bu teknik, web sitelerinin doğrudan kullanıcı etkileşimi olmadan hangi uzantıların yüklü olduğunu çıkarım yapmasına olanak tanır. Daha önceki gözlemler, 2025 yılında yaklaşık 2.000 ve bu yılın başlarında yaklaşık 3.000 uzantının tespit edilmesiyle daha küçük tarama aralıklarına işaret ediyordu.
Uzantı tespitinin yanı sıra, betiğin bir dizi cihaz telemetrisi topladığı belirtiliyor. Bunlar arasında CPU çekirdek sayısı, kullanılabilir bellek, ekran çözünürlüğü, saat dilimi ayarları, dil tercihleri, pil durumu ve depolama kapasitesi yer alıyor. Bu tür veri noktaları genellikle, tarama oturumları arasında bireysel cihazları ayırt edebilen benzersiz dijital parmak izleri oluşturmak için birleştiriliyor.
Raporda, hedeflenen uzantıların çoğunun, Apollo, Lusha ve ZoomInfo gibi satış istihbarat platformları da dahil olmak üzere LinkedIn’in kendi hizmetleriyle rekabet eden araçlarla ilişkili olduğu iddia ediliyor. Ayrıca, taramanın dilbilgisi araçları ve profesyonel yazılımlar gibi ilgisiz kategorileri de içerdiği belirtiliyor, ancak bu daha geniş kapsamın amacı belirsizliğini koruyor. Araştırmacılar ayrıca, toplanan verilerin tanımlanabilir kullanıcı profilleriyle bağlantılı olabileceğini iddia ediyor. LinkedIn hesapları genellikle gerçek adları, iş geçmişini ve diğer kişisel tanımlayıcıları içerdiğinden, bu bilgilerin cihaz düzeyindeki parmak izleriyle birleştirilmesi, hassas kullanıcı takibine olanak sağlayabilir. Raporda ayrıca, bazı verilerin HUMAN Security’ye iletilebileceği öne sürülüyor, ancak bu husus bağımsız olarak doğrulanmadı.