【安全资讯】LinkedIn被曝秘密扫描用户浏览器扩展并收集数据

概要：

在数字化时代，用户隐私保护日益成为焦点。近日，一份名为“BrowserGate”的报告揭露，微软旗下的职业社交平台LinkedIn在其网站上使用隐藏的JavaScript脚本，秘密扫描访问者浏览器中安装的扩展程序并收集设备数据。这一行为引发了关于用户隐私、数据收集边界以及平台责任的广泛担忧。

主要内容：

根据Fairlinked e.V.的报告，LinkedIn在用户会话中注入JavaScript代码，用于检测超过6,236个浏览器扩展，并将检测结果与可识别的用户档案关联。报告指出，LinkedIn尤其关注与其自身销售工具竞争的产品，如Apollo、Lusha和ZoomInfo。由于LinkedIn掌握用户的雇主信息，它可以借此绘制出哪些公司使用了竞争对手的产品，从而在用户不知情的情况下，从浏览器中提取数千家软件公司的客户列表。

该脚本采用了一种已知的技术来检测扩展是否安装：通过尝试访问与特定扩展ID关联的文件资源来实现。除了扩展检测，脚本还收集广泛的浏览器和设备数据，包括CPU核心数、可用内存、屏幕分辨率、时区、语言设置、电池状态、音频信息和存储功能。这些数据可用于构建独特的浏览器指纹，实现跨网站的用户追踪。

LinkedIn对此予以否认，声称检测行为是为了保护平台及其用户，防止未经同意抓取数据或违反服务条款的扩展程序。公司表示，这些数据仅用于识别违规扩展、改进技术防御，并理解异常数据抓取行为，而非用于推断用户的敏感信息。然而，BleepingComputer的独立测试证实了脚本的存在和扩展检测功能。

此次事件并非孤例。早在2021年，eBay等多家公司就被发现使用类似的指纹脚本，甚至对用户设备进行自动化端口扫描。无论LinkedIn的初衷如何，其大规模、隐蔽的数据收集行为无疑加剧了用户对隐私泄露的担忧，并引发了关于科技公司数据收集透明度和伦理边界的深刻讨论。