Jádrem obvinění je javascriptový kód, který LinkedIn údajně vkládá do každé načtené stránky. Tento skript tiše prohledává prohlížeč návštěvníka a zjišťuje, jaká rozšíření (extensions) má nainstalovaná. Nezjišťuje přitom jen jedno nebo dvě – aktuální počet prověřovaných rozšíření se vyšplhal na 6 236 položek. Investigativní server BleepingComputer tuto část obvinění nezávisle ověřil vlastním testováním a přítomnost skriptu potvrdil.
Zdroj: Vygenerováno v Gemini, redakce
Jak skript funguje?
Technika, kterou LinkedIn využívá, není nijak nová, ale její rozsah je mimořádný. Skript se pokouší přistupovat ke zdrojům (obrázky, javascriptové soubory) spojeným s konkrétními identifikátory rozšíření. Pokud takový soubor existuje, prohlížeč ho načte – a tím prozradí, že dané rozšíření je nainstalované. Jde o dobře zdokumentovanou metodu detekce rozšíření v prohlížečích postavených na jádře Chromium (Chrome, Edge apod.).
Skript přitom neskončí jen u rozšíření. Souběžně sbírá celou řadu dalších technických informací o zařízení uživatele:
- počet jader procesoru
- dostupná operační paměť
- rozlišení obrazovky
- časové pásmo a jazykové nastavení
- stav baterie
- zvukové možnosti zařízení
Tato kombinace dat se v bezpečnostní komunitě označuje jako „browser fingerprinting", tedy jakési otisky prstů prohlížeče. Jde tak o vytváření jedinečného otisku zařízení, který umožňuje identifikovat uživatele i bez cookies.
Mohlo by vás zajímat
Jaká data jsou citlivá a proč?
Samotná znalost nainstalovaných rozšíření by možná nevyvolala takový rozruch. Problém je ale v tom, jaká rozšíření LinkedIn sleduje a s jakými profily je dokáže propojit.
LinkedIn je profesní síť vázaná na skutečné identity. Každý účet nese jméno uživatele, jeho zaměstnavatele a pracovní pozici. Pokud LinkedIn zjistí, jaká rozšíření máte nainstalovaná, může tato data přiřadit konkrétní osobě a ne jen anonymnímu návštěvníkovi webu. A mezi 6 236 sledovanými rozšířeními se podle zprávy Fairlinked nacházejí například:
- rozšíření pro praktikující muslimy (blokování obsahu zakázaného islámem)
- nástroje s politickým zaměřením (např. označování „woke“ firem nebo přidávání „antisionistického“ štítku k profilům)
- aplikace pro neurodivergentní uživatele
- 509 nástrojů pro hledání zaměstnání – tedy LinkedIn může vědět, kdo si tajně hledá práci, přestože je stále zaměstnaný
Podle evropského nařízení GDPR patří náboženské přesvědčení, politické názory i zdravotní stav do kategorie zvláště citlivých osobních údajů, jejichž zpracování vyžaduje výslovný souhlas uživatele. Fairlinked tvrdí, že LinkedIn takový souhlas nezíská a tuto praxi ve svých zásadách ochrany soukromí vůbec nezmiňuje.
Mohlo by vás zajímat
Konkurenční zpravodajství? LinkedIn sleduje i nástroje rivalů
Další část obvinění míří na obchodní zájmy LinkedInu. Skript prý prověřuje přítomnost více než 200 konkurenčních produktů, například sales intelligence nástrojů jako Apollo, Lusha nebo ZoomInfo, ale i CRM platforem Salesforce, HubSpot či Pipedrive.
Protože LinkedIn zná zaměstnavatele každého uživatele, může teoreticky mapovat, které firmy používají jaké konkurenční nástroje, a to bez vědomí těchto firem i jejich zaměstnanců. Fairlinked dokonce tvrdí, že LinkedIn na základě takto získaných dat už rozesílal varování uživatelům třetích nástrojů.
Mohlo by vás zajímat
Televizory Samsung přestaly špehovat diváky v Texasu. Jak se můžete sledování vyhnout i vy?
Bezpečnost
HUMAN Security a napojení na izraelskou vojenskou rozvědku
Zpráva Fairlinked tvrdí, že sesbíraná data LinkedIn sdílí s firmou HUMAN Security (dříve White Ops), americkou kybernetickou bezpečnostní společností se sídlem v Brooklynu. Tato část obvinění zatím nebyla nezávisle ověřena.
HUMAN Security se zaměřuje na detekci podvodů a neoprávněné aktivity v digitálním prostředí. V roce 2022 se sloučila s izraelskou firmou PerimeterX, jejíž zakladatelé jsou bývalými důstojníky jednotky 8200, což je kybernetická divize izraelských obranných sil (IDF), která je považována za jednu z nejsofistikovanějších zpravodajských jednotek na světě. Roční příjmy HUMAN Security se pohybují kolem 2,3 miliardy korun.
LinkedIn vše popírá
LinkedIn reagoval na obvinění rozhodně. Společnost přiznala, že rozšíření skutečně detekuje, ale odmítla, že by data zneužívala. Podle vyjádření firmy jde o ochranu platformy a soukromí uživatelů před neoprávněným scrapingem, tedy automatizovaným stahováním dat z LinkedInu.
LinkedIn také napadl samotný zdroj zprávy. Uvádí, že za kampaní Fairlinked stojí vývojář nástroje Teamfluence, což je aplikace určená ke sledování aktivity na LinkedInu. Účet mu byl zablokován právě pro porušení podmínek platformy. Tento vývojář se pokusil dosáhnout soudního zákazu v Německu, ale německý soud jeho návrh zamítl a shledal, že LinkedIn jednal v mezích zákona.
Mohlo by vás zajímat
Není to poprvé
LinkedIn není v podobných praktikách osamocen. V roce 2020 bylo odhaleno, že eBay pomocí JavaScriptu provádí automatické skenování portů na zařízeních návštěvníků. A stejný skript se později objevil na stránkách bank a finančních institucí jako Citibank, TD Bank nebo Equifax.
Otázka tedy nezní jen „dělá to LinkedIn?“, ale také: kde leží hranice mezi legitimní ochranou platformy a invazivním sledováním uživatelů? A kdo ji určuje?
Pokud vám záleží na digitálním soukromí, je dobré vědět, že technika detekce rozšíření funguje výhradně v prohlížečích postavených na jádře Chromium. Firefox podobnou detekci neumožňuje díky jinému způsobu přístupu k souborům rozšíření. Alternativně lze zvážit používání LinkedInu v samostatném prohlížeči určeném výhradně pro tuto platformu, odděleném od ostatního prohlížení webu.
Zdroj: Browsergate, ycombinator, Bleeping computer, Tomshardware
18 foto
