「BrowserGate」と題された新しいレポートは、マイクロソフトのLinkedInがウェブサイトに隠しJavaScriptスクリプトを使用して訪問者のブラウザにインストールされている拡張機能をスキャンし、デバイスデータを収集していることを警告しています。
LinkedInの商業ユーザーの協会であると主張するFairlinked e.V.のレポートによると、マイクロソフトのプラットフォームはユーザーセッションにJavaScriptを注入し、数千のブラウザ拡張機能をチェックして、その結果を識別可能なユーザープロフィールにリンクさせています。
著者は、LinkedInアカウントが実際の身元、雇用主、職務に関連付けられているため、この行動は機密の個人および企業情報を収集するために使用されていると主張しています。
「LinkedInは、Apollo、Lusha、ZoomInfoを含む、独自の販売ツールと直接競合する200以上の製品をスキャンします。LinkedInは各ユーザーの雇用主を知っているため、どの企業がどの競合製品を使用しているかをマップできます。誰も知らないまま、ユーザーのブラウザから数千のソフトウェア企業の顧客リストを抽出しています」とレポートは述べています。
「その後、それが見つけたものを使用します。LinkedInはすでに、この秘密のスキャニングを通じて取得したデータを使用してターゲットを識別し、サードパーティーツールのユーザーに執行上の脅迫を送信しています。」
BleepingComputerは独自のテストを通じてこれらの請求の一部を独立して確認し、その間にLinkedInのウェブサイトによって読み込まれるランダム化されたファイル名を持つJavaScriptファイルを観察しました。
このスクリプトは、特定の拡張機能IDに関連付けられたファイルリソースへのアクセスを試みることで6,236のブラウザ拡張機能をチェックしました。これは拡張機能がインストールされているかどうかを検出するための既知の手法です。
このフィンガープリンティングスクリプトは以前2025年に報告されていましたが、その時点ではおよそ2,000の拡張機能のみを検出していました。2ヶ月前の異なるGitHubリポジトリは3,000の拡張機能が検出されていることを示しており、検出された拡張機能の数が増加し続けていることを示しています。
スキャンされる多くの拡張機能はLinkedInに関連していますが、スクリプトはまた奇妙なことに言語と文法拡張機能、税務専門家向けのツール、および他の一見関連のない機能を検出しました。
スクリプトはまた、CPUコア数、利用可能なメモリ、画面解像度、タイムゾーン、言語設定、バッテリーステータス、オーディオ情報、ストレージ機能を含む、訪問者のブラウザとデバイスに関する幅広いデータを収集します。
BleepingComputerは、データの使用またはサードパーティ企業と共有されるかどうかについてのBrowserGateレポートの請求を検証できませんでした。
ただし、同様のフィンガープリンティング技術は過去にユニークなブラウザプロフィールを構築するために使用され、ウェブサイト全体でユーザーを追跡することができるようになりました。
LinkedInがデータ使用の疑いを否定
LinkedInは特定のブラウザ拡張機能を検出していることに異議を唱えていませんが、この情報がプラットフォームとそのユーザーを保護するために使用されていることをBleepingComputerに伝えました。
ただし、同社は、レポートはLinkedInのコンテンツをスクレイピングし、サイトの利用規約に違反したためにアカウントが禁止された人からのものであると主張しています。
「ここにリンクされているウェブサイトで述べられている請求は全くの間違いです。その背後にある人物は、LinkedInの利用規約のスクレイピングおよび他の違反について、アカウント制限の対象です。
メンバーのプライバシー、データを保護し、サイトの安定性を確保するために、メンバーの同意なくデータをスクレイピングする、またはその他の方法でLinkedInの利用規約に違反する拡張機能を確認します。
その理由はここです。一部の拡張機能には、webページに注入できる静的リソース(画像、javascript)があります。その静的リソースURLが存在するかどうかをチェックすることにより、これらの拡張機能の存在を検出できます。この検出はChrome開発者コンソール内に表示されます。このデータを使用して、利用規約に違反する拡張機能を判定し、技術的な防御を知らせして改善し、メンバーアカウントが大量の他のメンバーのデータを取得している理由を理解します。これはスケール化するとサイトの安定性に影響します。このデータを使用して、メンバーに関する機密情報を推測することはありません。
追加の文脈として、このウェブサイト所有者のアカウント制限への報復として、彼らはドイツで差し止め命令を取得しようとし、LinkedInがさまざまな法律に違反したと主張しました。裁判所はそれに対して判決し、LinkedInに対する彼らの請求は根拠がなかったと判断しました。実際に、この個人の独自のデータ実践は法律に違反しました。
残念ながら、これは法廷で敗訴した個人が、正確性に関わらず、世論の法廷で再び争っていると言うケースです。」
LinkedInはBrowserGateレポートが、LinkedInが関連するブラウザ拡張機能「Teamfluence」の開発者を含む紛争から生じていると主張し、LinkedInがそれが判定をプラットフォームの利用規約に違反したと制限したと述べています。
BleepingComputerと共有された文書では、ドイツの裁判所は開発者の予備的差し止め命令の要求を拒否し、LinkedInの行動は違法な妨害または差別を構成していないと判断しました。
裁判所はまた、自動化されたデータ収集だけでもLinkedInの利用規約に違反する可能性があり、プラットフォームを保護するためにアカウントをブロックする権利があったと判断しました。
LinkedInはBrowserGateレポートがその紛争を公開されて再び争う試みであると主張しています。
レポートの理由に関わらず、異議を唱えられないポイントが1つあります。
LinkedInのサイトは、Chromiumブラウザで実行されている6,000以上の拡張機能を検出するフィンガープリンティングスクリプト、および訪問者のシステムに関する他のデータを使用しています。
これは、企業が訪問者のデバイスで実行されているプログラムを検出するための積極的なフィンガープリンティングスクリプトを使用するのは初めてではありません。
2021年、eBayはJavaScriptを使用して訪問者のデバイスで自動ポートスキャンを実行して、さまざまなリモートサポートソフトウェアを実行しているかどうかを判断することが判明しました。
eBayがこれらのスクリプトを使用している理由を確認することはありませんでしたが、侵害されたデバイスでの詐欺をブロックするために使用されていたと広く信じられていました。
後に、Citibank、TD Bank、Ameriprise、Chick-fil-A、Lendup、BeachBody、Equifax IQコネクト、TIAA-CREF、Sky、GumTree、WePayを含む多くの他の企業が同じフィンガープリンティングスクリプトを使用していることが発見されました。
