セキュリティ研究者は、マイクロソフト傘下のLinkedInが運営していると言われる大規模な極秘監視作戦を発見しました。
商用ユーザー協会Fairlinked e.V.による「BrowserGate」という新しい調査によると、LinkedInはユーザーのデバイス上で隠れたコードを実行し、インストール済みソフトウェアをスキャンし、ブラウザ拡張機能を確認しています。このキャンペーンはプラットフォームの10億人のグローバルユーザーの大部分に影響を与えています。
ユーザーがウェブサイトにアクセスするたびに、この非公開スクリプトはユーザーの同意を求めたり通知したりすることなく、秘密裏にローカルマシンを検索します。
LinkedInはこのテレメトリデータを実名、職位、現在の雇用者に結び付けているため、スキャンは識別されたプロフェッショナルが使用する正確なソフトウェアスタックを明らかにします。数百万の企業がこの継続的な日々のスキャンの影響を受けていると報告されています。
この極秘スキャン作戦は、非常にセンシティブな個人情報を収集することで、いくつかの厳格なプライバシー境界線を越えています。
欧州連合法の下で、収集されたデータの多くは明示的な同意が必要な禁止カテゴリーに該当します。BrowserGateレポートは、以下の複数の深刻な違反をハイライトしています。
公正なコンプライアンスの代わりに、LinkedInは欧州の規制当局を誤導したとされています。同社はコンプライアンスの証拠として欧州委員会に2つの厳しく制限されたAPIを提示しましたが、これらは1秒あたり約0.07回のコールを処理するだけです。
一方、LinkedInはすべてのウェブおよびモバイルアプリケーションに電力を供給している中核的な内部API「Voyager」を、1秒あたり163,000回のコールという規模で完全に省略しました。
政府の命令に従って第三者ツールを許可する代わりに、LinkedInは隠れたスキャンリストを急速に拡大し、2024年の461製品から2026年2月までに6,000以上に拡張して、競合ツールのユーザーにペナルティを課しています。
この収集されたインテリジェンスはマイクロソフトのコーポレートサーバー内だけに留まりません。調査によると、LinkedInは隠れたトラッキングピクセルと極秘スクリプトを利用して、ユーザーデータを外部組織に直接流出させています。
さらに、LinkedInはGoogleからの静かに実行されるスクリプトと一緒に、独自の高度に暗号化されたフィンガープリンティングスクリプトを実行しています。
これらのトラッキングメカニズムやパートナーシップのいずれもLinkedInの公式プライバシーポリシーに開示されておらず、プラットフォームの大規模なデータ収集慣行について深刻な法的および刑事上の問題を提起しています。
翻訳元: https://cyberpress.org/linkedin-accused-of-secretly-checking-device/