LinkedIn espia browser dos visitantes para mais de 6.000 extensões

Uma simples visita ao LinkedIn faz com que o site recolha uma imensa quantidade de informação, incluindo a presença de mais de 6 mil extensões, e dados de hardware.

O LinkedIn está no centro de nova polémica relacionada com privacidade, depois de um relatório BrowserGate acusar a plataforma de analisar silenciosamente os browsers dos utilizadores de forma extensiva para detectar extensões instaladas e recolher dados dos dispositivos.

De acordo com o relatório, a rede social profissional da MS utiliza scripts JavaScript que são carregados durante a navegação no site. Estes scripts verificam milhares de extensões de browser instaladas - mais de 6.000 - e associam essa informação aos utilizadores. Tendo em conta que as contas do LinkedIn estão ligadas a identidades reais, empresas e cargos profissionais, os dados recolhidos podem, em teoria, revelar informações sensíveis tanto a nível pessoal como empresarial. Com isto, o LinkedIn consegue identificar que empresas estarão a usar ferramentas concorrentes, incluindo serviços de recrutamento. Segundo o relatório, esta informação já terá sido usada para enviar avisos ou acções contra utilizadores.

Parte destas alegações já foi confirmada por testes independentes, que identificaram um ficheiro JavaScript com nome aleatório a ser carregado pelo site. Esse script utiliza uma técnica conhecida para detectar extensões instaladas, tentando aceder a recursos associados a identificadores específicos de extensões.

Para além da detecção de extensões, o script também recolhe vários dados sobre o dispositivo e o browser, incluindo número de núcleos do CPU, memória disponível, resolução do ecrã, fuso horário, idioma, estado da bateria e até informações relacionadas com áudio e armazenamento. Este tipo de dados pode ser utilizado para técnicas de "fingerprinting" para identificar o utilizador em sites diferentes, ou no próprio LinkedIn, caso esteja a usar diferentes contas ou a tentar o acesso em modo "anónimo".

Em resposta, o LinkedIn não nega que utiliza estas técnicas, mas diz que as faz para "proteger a plataforma e os utilizadores", nomeadamente identificando extensões que recolhem dados sem consentimento ou que violam os termos de utilização. Acusa também os queixosos de estarem a querer denegrir o seu nome por estarem envolvidos num processo de litígio relativo à recolha indevida de dados do LinkedIn.

Independentemente das razões, o que fica demonstrado é que o LinkedIn faz efectivamente fingerprinting de forma extremamente agressiva, o que acaba por servir como mais um lembrete/incentivo para que se usem browsers (como o Brave) ou mecanismos que bloqueiem este tipo de comportamentos.