Професійна мережа LinkedIn, що входить до екосистеми Microsoft, опинилася в центрі уваги фахівців з кібербезпеки після публікації дослідження німецької асоціації Fairlinked e.V. Експерти стверджують, що платформа використовує приховані JavaScript-скрипти для масштабного фінгерпринтингу браузера та сканування тисяч розширень, формуючи детальний технічний профіль пристрою кожного відвідувача.
Як саме LinkedIn сканує розширення браузера
За даними Fairlinked, у сесії користувача LinkedIn динамічно вбудовується спеціальний JavaScript-код. Він послідовно перевіряє велику кількість ідентифікаторів розширень Chromium-браузерів, намагаючись отримати доступ до їхніх файлових ресурсів. Такий підхід добре відомий у практиці інформаційної безпеки як спосіб ідентифікації встановлених розширень без прямого доступу до налаштувань браузера.
Журналісти BleepingComputer, провівши власний технічний аналіз, виявили на сайті LinkedIn JavaScript-файл із рандомізованою назвою, який сканував 6236 розширень у браузерах на базі Chromium. Раніше в аналогічних скриптах, що публікувалися в GitHub‑репозиторіях, фігурували лише кілька тисяч розширень, що свідчить про системне та поступове розширення цього списку.
Які дані збирає LinkedIn і навіщо це може знадобитися
Сканування конкурентних та професійних розширень
За інформацією Fairlinked, до переліку перевірюваних входять не лише розширення, пов’язані з екосистемою LinkedIn, а й понад 200 продуктів прямих конкурентів, серед яких згадуються Apollo, Lusha, ZoomInfo та інші B2B‑сервіси. З огляду на те, що LinkedIn знає ім’я користувача, його посаду та роботодавця, поєднання цих даних з інформацією про встановлені розширення потенційно дозволяє будувати карти клієнтів та користувачів конкуруючих платформ.
У списку також присутні мовні та граматичні плагіни, спеціалізовані інструменти для податкових консультантів та інші нішеві продукти. Набір розширень часто є непрямим індикатором галузі, ролі співробітника, рівня технічної підготовки та навіть внутрішніх процесів компанії — що робить таке сканування цінним як для кіберзахисту, так і для конкурентної розвідки.
Фінгерпринтинг браузера: технічний відбиток пристрою
Окремий блок скрипта відповідає за browser fingerprinting — збір технічних параметрів, які в сукупності формують унікальний «відбиток» браузера. За повідомленнями дослідників, LinkedIn може збирати, зокрема:
- кількість ядер процесора та орієнтовний обсяг доступної пам’яті;
- роздільну здатність екрана та налаштування масштабування;
- часовий пояс і мовні параметри системи;
- стан батареї ноутбука або мобільного пристрою;
- характеристики аудіопідсистеми;
- обсяг і тип доступного браузерного сховища.
Комбінація таких атрибутів дозволяє досить надійно ідентифікувати конкретний пристрій навіть за відсутності класичних cookies. У професійній спільноті це вважається одним із найстійкіших методів відстеження, який важко повністю заблокувати стандартними налаштуваннями браузера.
Позиція LinkedIn та суперечка навколо звіту BrowserGate
Представники LinkedIn не заперечують, що платформа виконує сканування розширень і фінгерпринтинг браузера, однак наголошують: ці механізми застосовуються виключно для захисту сервісу та користувачів. Серед офіційно озвучених цілей — протидія шахрайству, виявлення інструментів автоматизованого збору даних (scraping) та попередження зловживань API.
Компанія також акцентує увагу на контексті появи дослідження, відомого як BrowserGate. Автор звіту пов’язаний із розробкою розширення Teamfluence, а його обліковий запис у LinkedIn раніше був заблокований за скрапінг контенту. За даними LinkedIn, відповідний позов у німецькому суді завершився висновком про порушення розробником правил обробки даних, що платформа подає як аргумент про можливу заангажованість критики.
Конфіденційність, GDPR та юридичні ризики фінгерпринтингу
Ключове питання до практики LinkedIn — пропорційність і прозорість такої обробки даних. Список встановлених розширень у поєднанні з реальним ім’ям, місцем роботи та іншими ідентифікаторами фактично становить персональні дані. У межах регулювання GDPR у ЄС це вимагає чіткого правового обґрунтування, мінімізації зібраних даних та зрозумілого інформування користувачів.
Фінгерпринтинг браузера вже привертає увагу європейських регуляторів як технологія, що може обходити обмеження щодо файлів cookie та банерів згоди. Подібні кейси не поодинокі: наприклад, платформа eBay була викрита в автоматичному скануванні локальних портів для виявлення ПЗ віддаленого доступу, а схожі скрипти виявлялися на ресурсах Citibank, TD Bank, Equifax та інших великих фінансових гравців.
Як користувачам і компаніям зменшити ризики відстеження
Оптимізуйте набір розширень. Чим більше унікальних плагінів встановлено, тим легше однозначно ідентифікувати браузер. Варто видалити застарілі та рідко використовувані модулі, залишивши лише необхідні й перевірені розширення з офіційних магазинів.
Розділяйте робочі та особисті контексти. Використання окремих профілів або навіть різних браузерів для соцмереж, корпоративних задач та онлайн-банкінгу зменшує обсяг корельованих даних, доступних одній платформі, і ускладнює побудову детального профілю користувача.
Застосовуйте інструменти проти фінгерпринтингу. Браузери, орієнтовані на конфіденційність, та спеціалізовані розширення-блокувальники трекерів можуть рандомізувати окремі параметри середовища, обмежувати доступ до API або блокувати підозрілі JavaScript‑скрипти, що знижує точність відбитку браузера.
Посилюйте корпоративний контроль. Організаціям варто регулярно проводити аудит розширень у співробітників, впроваджувати чіткі Browser Security Policy, а також використовувати засоби моніторингу фронтенд‑скриптів на критичних веб‑ресурсах, щоб розуміти, які дані можуть передаватися зовнішнім платформам.
Історія з фінгерпринтингом у LinkedIn демонструє, як тонка межа між кібербезпекою, аналітикою та конфіденційністю поступово розмивається. Щоб зберегти контроль над власними цифровими слідами, користувачам і бізнесу варто уважніше ставитися до налаштувань приватності, складу встановлених розширень і політик використання веб‑сервісів, а також стежити за новими дослідженнями в галузі browser fingerprinting і захисту персональних даних — і проактивно адаптувати свої стратегії кібербезпеки до цих викликів.
