Recentemente, a rede social LinkedIn passou a estar no centro de uma polémica de privacidade. De acordo com um artigo publicado pela Fairlinked e confirmado pelo site BleepingComputer, a plataforma pode estar a espiar os seus utilizadores de forma silenciosa. A empresa integra um script de JavaScript em cada página carregada, desenhado para analisar os browsers dos visitantes e procurar por mais de seis mil extensões instaladas.
A técnica utilizada baseia-se na tentativa de aceder a ficheiros ligados a identificadores específicos de extensões, um método bem documentado para descobrir o que está instalado em browsers baseados em Chromium. Além de verificar as extensões, o código recolhe dados detalhados sobre o hardware e o software dos dispositivos. A notícia avança que a plataforma consegue obter informações como o número de núcleos do processador, a memória disponível, a resolução do ecrã, o fuso horário, as definições de idioma e até o estado da bateria.
Estes pontos de dados são frequentemente usados para criar perfis únicos de dispositivos, uma prática conhecida como “fingerprinting”. Como as contas do LinkedIn estão ligadas a nomes reais, cargos e empresas, esta recolha permite identificar indivíduos de forma muito precisa, o que levanta sérias questões sobre a privacidade de quem navega no site.
O alvo das verificações
O número de extensões analisadas tem vindo a aumentar drasticamente. Se no início do ano a plataforma procurava por cerca de três mil ferramentas, o valor actual situa-se nas 6236. Muitas destas extensões são produtos de inteligência de vendas de empresas concorrentes, como a Apollo, a Lusha e a ZoomInfo. No entanto, o script também verifica ferramentas de gramática, utilitários para profissionais de impostos e outras categorias sem qualquer ligação óbvia aos serviços que o LinkedIn disponibiliza.
O artigo original refere ainda que os dados recolhidos podem ser enviados para a HUMAN Security, uma empresa de cibersegurança com sede nos Estados Unidos e em Israel, embora esta informação não tenha confirmação independente até ao momento.
A defesa da rede social
Confrontado com estas descobertas, um porta-voz do LinkedIn indicou ao BleepingComputer que a verificação serve apenas para detectar extensões desenhadas para extrair dados da plataforma sem o consentimento dos membros. A empresa garante que o objectivo principal passa por proteger a privacidade dos utilizadores e assegurar a estabilidade do site, ao negar o uso das informações para deduzir detalhes sensíveis.
A rede social nota também que o autor do artigo original teve a sua conta restringida por extracção não autorizada de dados, uma vez que estava ligado a uma extensão chamada Teamfluence. Um tribunal alemão chegou mesmo a negar um pedido de providência cautelar a este indivíduo, ao dar razão ao LinkedIn no bloqueio de contas dedicadas a recolher informações de forma automatizada.
Esta prática de monitorização agressiva do lado do cliente não é inédita entre as grandes plataformas tecnológicas. Em 2021, descobriu-se que o eBay usava uma funcionalidade semelhante em JavaScript para fazer verificações automáticas aos dispositivos dos visitantes, com o intuito de detectar software de acesso remoto, uma táctica que mais tarde foi vista em sites de várias instituições bancárias.
