Versenytársak és ügyfélkörök feltérképezése
A vizsgálatok kimutatták, hogy a LinkedIn nemcsak saját ökoszisztémáján belüli eszközökre vadászik, hanem közel 200 olyan bővítményt is figyel, amelyek a cég saját értékesítési megoldásaival versenyeznek, például Apollo, Lusha vagy ZoomInfo. Mivel a LinkedIn szinte minden fiókot valódi személyhez, munkahelyhez és pozícióhoz köt, pontosan feltérképezheti, hogy mely cégek milyen konkurens termékeket használnak. Ez gyakorlatilag azt jelenti, hogy ügyféladatbázisokat tud összeállítani anélkül, hogy ezt bárki észrevenné. Sőt, a megszerzett adatok segítségével már több felhasználónak is küldtek figyelmeztetést, hogy harmadik féltől származó eszközöket alkalmaznak.
Mi mindent vesz szemügyre a LinkedIn?
A LinkedIn oldalán egy véletlenszerű nevű JavaScript-fájl fut le, amely 6 236 bővítmény meglétét ellenőrzi. Ezt úgy teszi, hogy megpróbál hozzáférni valamely bővítményhez tartozó fájlhoz, így megállapítja, hogy az telepítve van-e. Az első ilyen szkriptet még korábban figyelték meg: akkoriban 2 000 kiegészítőt érzékelt, mostanra viszont már több mint a háromszorosára nőtt ez a szám. Az ellenőrzött bővítmények között nemcsak a LinkedInhez kapcsolódók, hanem helyesírási és nyelvi eszközök, adózási és egyéb általános alkalmazások is szerepelnek.
Emellett a szkript olyan hardver- és böngészőadatokat is begyűjt, mint a processzormagok száma, memória, képernyőfelbontás, időzóna, nyelvi beállítások, akkumulátortöltöttség, hangkártya-információk és háttértárlehetőségek.
Miért védekezik így a LinkedIn?
A LinkedIn nem tagadja, hogy a szkript fut a háttérben, de szerintük mindez a platform és a felhasználók védelméért történik. Állításuk szerint csak olyan bővítményekre vadásznak, amelyek engedély nélkül gyűjtenek adatokat vagy sértik a felhasználási feltételeiket. A vállalat szerint így tudják kiszűrni a jogsértő fiókokat, és ezzel hozzájárulnak az oldal biztonságához.
A jelentést egy olyan fejlesztő kezdeményezte, akinek a fiókját kitiltották egy bővítmény miatt: a német bíróság azonban úgy ítélte meg, hogy a LinkedIn jogszerűen járt el, amikor megszüntette hozzáférését.
Leskelődés mindenütt?
A böngészőujjlenyomat-készítés és bővítménydetektálás nem egyedi eszköz: korábban az eBay is futtatott hasonló szkripteket, elsősorban a csalások visszaszorítására. Azóta más ismert oldalak – Citibank, TD Bank, Chick-fil-A és még több nagyvállalat – is alkalmaztak ilyen technikákat. A különbség csupán az eljárás átláthatóságában rejlik – a LinkedIn titkos adatgyűjtése azonban újabb vita forrásává vált.
Mindezt figyelembe véve
Hiába a magyarázat, hogy ez csak a felhasználók érdekeit védi, a LinkedIn több mint 6 000 bővítmény és számos személyes adat feltérképezésével látványosan túllép a megszokott biztonsági intézkedéseken. A böngészőujjlenyomat-készítés és bővítménydetektálás gyakorlata egyre elterjedtebb, a felhasználók számára viszont továbbra is megkérdőjelezhető, hogy mennyire tartják tiszteletben a magánéletüket a nagy internetes szolgáltatók. Ezenfelül érdemes odafigyelni arra, milyen bővítményeket használsz, hiszen már önmagában ez is árulkodó lehet a viselkedésedről, kapcsolataidról vagy éppen munkahelyi szokásaidról.
