LinkedIn durchsucht die Browser-Erweiterungen seiner Nutzer

 (browsergate.eu)
2 Punkte von GN⁺ 27 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Es wurde festgestellt, dass LinkedIn die Browser-Erweiterungen der Nutzer heimlich scannt und die Ergebnisse an eigene sowie an Server Dritter überträgt
  • Dieser Vorgang wird ohne Einwilligung oder Benachrichtigung der Nutzer ausgeführt und ist auch nicht in LinkedIns Datenschutzerklärung aufgeführt
  • Zu den gescannten Erweiterungen gehören solche, die sensible Informationen zu Politik, Religion, Behinderung oder Jobsuche offenlegen können
  • LinkedIn soll damit Unternehmen identifizieren, die Produkte von Wettbewerbern nutzen, und es gab Fälle von Sanktionsdrohungen gegen Nutzer von Drittanbieter-Tools
  • Fairlinked e.V. stuft dies als massiven Datenschutzverstoß und Unternehmensspionage ein und treibt rechtliche Schritte sowie öffentliche Meldungen voran

Verdacht auf illegales Scannen von Browser-Erweiterungen durch LinkedIn

  • Es wurde bestätigt, dass LinkedIn die auf den Computern der Nutzer installierten Browser-Erweiterungen heimlich durchsucht und die Ergebnisse an eigene sowie an Server Dritter übermittelt
    • Dieser Code wird ohne Einwilligung oder Benachrichtigung der Nutzer ausgeführt, und LinkedIns Datenschutzerklärung erwähnt dies nicht
    • Die gesammelten Daten werden auch an Drittunternehmen wie HUMAN Security (früher PerimeterX) übertragen
  • LinkedIn verfügt über Informationen wie Klarname, Arbeitgeber und Position der Nutzer und führt den Scan daher nicht bei anonymen Besuchern, sondern auf Ebene identifizierbarer Personen und Unternehmen durch
    • Dadurch entsteht eine Struktur, in der täglich interne Informationen von Millionen Unternehmen weltweit gesammelt werden
    • Den Untersuchungsergebnissen zufolge könnte dieses Verhalten in allen geprüften Rechtsräumen illegal sein oder als Straftat gelten

Untersuchende Organisation und Ziel

  • Fairlinked e.V. ist ein Verband kommerzieller LinkedIn-Nutzer und vertritt Fachkräfte, Unternehmen und Tool-Entwickler, die von der Plattform abhängig sind
  • BrowserGate ist die von dieser Organisation durchgeführte Untersuchung und Kampagne. Sie soll einen Fall massenhafter Unternehmensspionage und Datenschutzverletzungen dokumentieren, die Öffentlichkeit und Aufsichtsbehörden informieren sowie Beweise sammeln und Spenden für rechtliche Schritte einwerben

Zentrale Erkenntnisse

  • Massive Datenschutzverletzung

    • LinkedIns Scan erkennt Erweiterungen, die Rückschlüsse auf Religion, politische Haltung, Behinderung oder Jobsuche der Nutzer zulassen
    • Beispiele sind Erweiterungen für muslimische Gläubige, mit Bezug zur politischen Ausrichtung, Tools für neurodivergente Nutzer sowie 509 Erweiterungen rund um die Jobsuche
    • Solche Daten fallen nach EU-Recht in Kategorien, deren Erhebung an sich verboten ist, und LinkedIn verarbeitet sie ohne Einwilligung, Offenlegung oder Rechtsgrundlage

  • Unternehmensspionage und Diebstahl von Geschäftsgeheimnissen

    • LinkedIn scannt mehr als 200 Produkte, die mit den eigenen Vertriebstools konkurrieren, darunter Apollo, Lusha und ZoomInfo
    • Über die Arbeitgeberinformationen der Nutzer lässt sich erkennen, welches Unternehmen welches Konkurrenzprodukt nutzt; das läuft darauf hinaus, Kundenlisten von Tausenden Softwareunternehmen unbefugt auszulesen
    • LinkedIn hat diese Daten Berichten zufolge genutzt, um Nutzern von Drittanbieter-Tools mit Sanktionen zu drohen

  • Umgehung von EU-Regulierung

    • 2023 stufte die EU LinkedIn nach dem Digital Markets Act (DMA) als Gatekeeper ein und verpflichtete das Unternehmen, Zugang für Drittanbieter-Tools zu ermöglichen
    • Als Reaktion veröffentlichte LinkedIn zwei eingeschränkte APIs, die jedoch nur etwa 0,07 Aufrufe pro Sekunde erlauben
    • Die interne API Voyager hingegen betreibt alle Web- und Mobilprodukte mit 163.000 Aufrufen pro Sekunde
    • Im 249-seitigen EU-Bericht von Microsoft taucht „API“ 533-mal auf, „Voyager“ jedoch kein einziges Mal
    • Gleichzeitig weitete LinkedIn die Überwachung aus und erweiterte die Scan-Liste von rund 461 Produkten im Jahr 2024 auf mehr als 6.000 mit Stand Februar 2026
    • Während die EU die Öffnung für Drittanbieter-Tools verlangte, baute LinkedIn ein System zur Überwachung und Bestrafung von Nutzern auf

  • Übertragung von Daten an Dritte

    • LinkedIn lädt ein unsichtbares Tracking-Element von HUMAN Security (0 Pixel groß) und setzt ohne Wissen der Nutzer Cookies
    • Auf LinkedIns eigenen Servern läuft ein Fingerprinting-Skript, außerdem wird ein Skript von Google bei jedem Seitenaufruf ausgeführt
    • Sämtliche Datenübertragungen sind verschlüsselt und werden nicht offengelegt

Bitte um Unterstützung

  • Microsoft verfügt über 33.000 Mitarbeiter und ein Rechtsbudget von 15 Milliarden US-Dollar
  • Fairlinked hat Beweise gesichert, benötigt für rechtliche Schritte jedoch Personal und finanzielle Unterstützung
  • Über die Website wird zu Beteiligung, Unterstützung und Hinweisen an die Presse aufgerufen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 27 일 전
Hacker-News-Kommentare

  • Der Titel wirkt etwas übertrieben
    Tatsächlich läuft es so, dass beim Öffnen von LinkedIn in einem Chrome-basierten Browser JavaScript die installierten Browser-Erweiterungen still scannt, das Ergebnis verschlüsselt und an den Server sendet
    Das wirkt invasiv, scheint aber eine Art Browser-Fingerprinting zu sein, wie man es heute häufig auf Websites mit Werbecode sieht
    Dass einzelne Erweiterungs-IDs nacheinander abgefragt werden, dürfte vor allem an API-Beschränkungen liegen
    Problematisch ist es trotzdem, aber diesem übermäßig angstmachenden Framing stimme ich nicht zu
    Deshalb benutze ich einen Adblocker

    • Da fragt man sich, ob das Durchsuchen von Browser-Erweiterungen nicht bereits ein Scan des Computers ist
      Genau deshalb hat Chrome in V3 die extensionId randomisiert: um so etwas zu verhindern
      Wenn LinkedIn sogar bestimmte religiöse Erweiterungen in seine Liste aufgenommen hat, dann wirkt das nicht wie ein rein technischer Grund, sondern wie eine bewusste Entscheidung
    • Ich halte schon die Erwartung, dass so etwas normal sei, für das eigentliche Problem
      Ein Adblocker ist keine perfekte Verteidigung, und Informationsabschöpfung und Verhaltensmanipulation tauchen ständig in neuen Formen auf
    • Erstaunlich, dass wir in einer Welt leben, in der sogar das FBI Adblocker empfiehlt
      Wenn aber wirklich alle das täten, würde ein großer Teil der Internetökonomie zusammenbrechen
      Ironisch ist, dass das FBI im Grunde sagt: „Schützt euch selbst vor der Geschäftspraxis des drittgrößten Unternehmens der Welt“
    • Ich sehe überhaupt keinen Grund, warum LinkedIn in meine Erweiterungen hineinschauen sollte
      Gegen so etwas sollte man sich entschieden wehren
    • Das wurde bereits mehrfach reverse-engineert
      Die Liste der Erweiterungen, die LinkedIn prüft, besteht größtenteils aus Spam- und Scraping-Tools, übliche Adblocker sind nicht dabei
      Bei eingeloggten Nutzern ist Fingerprinting ohnehin kaum nötig, daher dient es wahrscheinlich einfach der Erkennung von Automatisierungs-Tools

  • Das ist die offizielle Stellungnahme von LinkedIn
    Das Konto der Person, die den Vorwurf erhoben hat, sei wegen Scraping und Verstoßes gegen die Nutzungsbedingungen eingeschränkt worden, und nun verbreite sie aus Rache falsche Behauptungen
    LinkedIn erklärt, man erkenne Erweiterungen zur unbefugten Datenextraktion, um Mitgliederdaten zu schützen und die Stabilität der Website zu sichern
    Da Erweiterungen feste Ressourcen-URLs offenlegen, lasse sich ihre Existenz feststellen, und das sei auf einem Niveau, das auch in der Entwicklerkonsole sichtbar sei
    Diese Daten würden nur zur Erkennung von Verstößen gegen die Nutzungsbedingungen und zur Verbesserung technischer Abwehrmaßnahmen verwendet und nicht zur Ableitung sensibler Informationen
    Außerdem verweist LinkedIn darauf, dass auch ein deutsches Gericht zugunsten des Unternehmens entschieden habe

    • Eingriffe in die Privatsphäre lassen sich durch keinen Zweck rechtfertigen
      Wenn das Risiko besteht, dass politische, religiöse oder sexuelle Präferenzen eines Nutzers offengelegt werden, ist das ein weitaus schwerwiegenderes Problem als die Durchsetzung von AGB
      Man könnte doch einfach Konten sperren, die nur übermäßig viel Traffic verursachen; ich verstehe nicht, warum man stattdessen so eine invasive Methode wählt
      Außerdem wird daran erinnert, dass LinkedIn schon in seiner frühen Wachstumsphase ungefragt Adressbücher abgegriffen und E-Mails verschickt hat
    • Ich würde gern wissen, ob LinkedIn diese angebliche Liste bösartiger Erweiterungen offenlegen kann
    • Manche reagieren, dass bloße Behauptungen ohne Belege schwer vertrauenswürdig seien
    • Microsoft und LinkedIn haben in der Vergangenheit schon bei der Datenerhebung gelogen, daher fällt Vertrauen schwer
    • Es gibt auch die zynische Reaktion, ob Microsoft als Investor in OpenAI überhaupt das Recht habe, Urheberrechtsverletzungen zu kritisieren

  • Ich habe kein LinkedIn-Konto, trotzdem wurde unter meinem Namen ein gefälschtes Profil erstellt
    Es war mit dem Unternehmen verknüpft, für das ich derzeit berate, und nachdem ich eine Beschwerde-Mail geschickt hatte, bestätigte LinkedIn die Löschung per E-Mail
    LinkedIn kann also offenbar auch ohne Konto automatisch Profile anlegen; Vorsicht ist angebracht

    • Man fragt sich, wie so etwas überhaupt möglich ist
      Lädt das Unternehmen Mitarbeiterlisten hoch, passiert das über die Verknüpfung mit Microsoft-Konten, oder gibt es einen anderen Weg? Das ist unklar
      Außerdem würde ich gern wissen, ob es ein Verfahren gibt, mit dem man ein solches Profil übernehmen oder löschen lassen kann
    • Es könnte auch einfach ein betrügerisches Konto gewesen sein, das sich als die echte Person ausgibt
      Seit der Zunahme von Remote-Arbeit kommt das häufiger vor, und schon ein paar Gehaltszahlungen machen es für Täter lohnend
    • Möglicherweise ist dieser Fall der einzige Hinweis darauf, warum LinkedIn sich so verhält

  • Noch vor ein paar Jahren wäre solches unerlaubtes Fingerprinting als Spyware eingestuft worden
    Was LinkedIn jetzt macht, ist eine Art „spectroscopy“, also die Kombination aus Erweiterungserkennung und Analyse von DOM-Rückständen
    Mit Adblockern ist das schwer zu stoppen, und selbst außerhalb von Chrome ist vollständiger Schutz kaum möglich
    Am Ende braucht es einen echten Privacy-Modus auf Ebene der Browserhersteller

    • Tatsächlich nutzen Dienste wie reCAPTCHA schon seit über 15 Jahren Browser-Fingerprinting
      Erweiterungserkennung ist eher selten, Fingerprinting selbst aber längst etablierte Praxis
      Auf fingerprint.com/demo habe ich getestet, wie verwundbar mein Browser ist
    • Microsoft hat den Markt schon immer auf diese Weise mit minderwertigen Produkten festgenagelt
      Windows, Office, SharePoint und LinkedIn seien nur weitere Beispiele

  • Dass LinkedIn sogar Erweiterungen wie Islam-Inhaltsfilter, anti-zionistische Tags oder Hilfstools für Neurodiversität erkennt, beschädigt das Vertrauen massiv

    • Viele solcher Erweiterungen könnten in Wirklichkeit bösartige Erweiterungen zum Datendiebstahl sein
      Nach außen wirken sie wie soziale Themen- oder Accessibility-Tools, intern ziehen sie aber oft Nutzerdaten ab
    • Solches Verhalten ist nur ein Teil von Werbetargeting und Fingerprinting, nicht bloß ein Microsoft-Problem
      Die Erosion von Vertrauen zieht sich seit Jahrzehnten durch das gesamte Internet
    • Ich glaube, solche Ideen stammen nicht von einem bösartigen Manager, sondern sind das Ergebnis von Mitarbeitern, die Geld über Moral stellen
    • In der von LinkedIn erkannten Erweiterungsliste finden sich viele politisch gefärbte Erweiterungen wie „Anti-woke“, „Vote With Your Money“ oder „No more Musk“

  • Schon die Tatsache, dass eine Website bestimmte Erweiterungen erkennen kann, ist problematisch
    Wenn es einen legitimen Bedarf gibt, sollte eine Erweiterung selbst wählen können, auf welchen Websites sie sich zu erkennen gibt

    • In der Praxis sind Erweiterungen oft so eingestellt, dass sie nur auf bestimmten Websites aktiv sind; ihre Existenz lässt sich dann über die dabei offengelegten öffentlichen Ressourcen-Dateien feststellen
      LinkedIn scannt auf diese Weise mehr als 6000 Erweiterungen
      Früher waren es etwa 100, inzwischen ist das deutlich aggressiver ausgeweitet worden

  • Ich trenne meinen privaten und meinen beruflichen Browser über verschiedene cgroups und jails
    Das Einrichten ist umständlich, aber es beruhigt mich, dass Privatsphäre und Arbeitsdaten nicht vermischt werden
    Mindestens eine Trennung in ein öffentliches und ein privates Profil würde ich empfehlen
    Ich will nicht, dass Microsoft weiß, ob ich eine Erweiterung wie „Otaku Neko StarBlazers Tru-Fen Extendomatic“ installiert habe

    • Ich habe ebenfalls ein separates Firefox-Profil für Erwachsene
    • Jemand schrieb auch, er habe tatsächlich nach dieser Erweiterung gesucht
    • Für solche getrennten Umgebungen eignet sich Qubes OS hervorragend. Ich nutze es im Alltag und empfehle es sehr

  • Der Vorfall zeigt letztlich ein Scheitern der Chrome-Sandbox
    Eine technische Lösung könnte einfacher und wirksamer sein als rechtliche Regulierung

    • Chrome-Erweiterungen legen über manifest.json und web_accessible_resources interne Dateien offen
      LinkedIn nutzt diese Struktur, um per fetch zu prüfen, ob sie installiert sind
      Fraglich ist, ob das wirklich so beabsichtigt war
    • Laut diesem Kommentar ist das Problem nicht ganz so einfach
    • Hinzu kommt, dass Chrome-Entwickler offenbar wenig Motivation haben, Tracking zu verhindern
      Technische Abwehr und ethische Empörung müssen Hand in Hand gehen

  • Es gibt keinen Grund, großen Tech-Konzernen zu vertrauen
    Wer seine Privatsphäre schützen will, sollte Browser-Containerfunktionen nutzen
    Meine eigene LinkedIn-Container-Erweiterung isoliert LinkedIn-Aktivitäten in Firefox
    Ich will sie künftig so erweitern, dass sie auch die Scanversuche von LinkedIn blockiert

  • Die Sache ist zwar furchteinflößend, aber zugleich ist es technisch erstaunlich, dass JavaScript mehr als 6000 fetch-Anfragen parallel verarbeiten kann
    Dass solche Effizienz sogar ohne den Netzwerk-Stack möglich ist, zeigt, wie weit sich JS entwickelt hat