LinkedIn scannt heimlich nach über 6.000 Chrome-Erweiterungen und sammelt Daten
Ein neuer Bericht mit dem Titel "BrowserGate" warnt davor, dass Microsofts LinkedIn auf seiner Webseite versteckte JavaScript-Skripte einsetzt, um die Browser der Besucher nach installierten Erweiterungen zu durchsuchen und Gerätedaten zu sammeln.
Laut einem Bericht von Fairlinked e.V., einer Vereinigung kommerzieller LinkedIn-Nutzer, fügt die Microsoft-Plattform JavaScript in Nutzersitzungen ein, das nach Tausenden von Browser-Erweiterungen sucht und die Ergebnisse mit identifizierbaren Nutzerprofilen verknüpft.
Der Autor behauptet, dass dieses Verhalten dazu dient, sensible persönliche und unternehmensbezogene Informationen zu sammeln, da LinkedIn-Konten mit realen Identitäten, Arbeitgebern und beruflichen Positionen verknüpft sind.
LinkedIn sucht nach über 200 Produkten, die in direkter Konkurrenz zu seinen eigenen Verkaufstools stehen, darunter Apollo, Lusha und ZoomInfo. Da LinkedIn den Arbeitgeber jedes Nutzers kennt, kann es zuordnen, welche Unternehmen welche Konkurrenzprodukte verwenden. Es extrahiert die Kundenlisten von Tausenden von Softwareunternehmen aus den Browsern seiner Nutzer, ohne dass jemand davon weiß.
Anschließend nutzt es die gewonnenen Erkenntnisse. LinkedIn hat bereits Drohungen mit rechtlichen Schritten an Nutzer von Drittanbieter-Tools verschickt und dabei Daten verwendet, die durch dieses verdeckte Scannen gewonnen wurden, um seine Ziele zu identifizieren.
BleepingComputer hat einen Teil dieser Behauptungen durch eigene Tests unabhängig bestätigt. Dabei wurde beobachtet, wie eine JavaScript-Datei mit einem zufälligen Dateinamen von der Webseite von LinkedIn geladen wurde.
Dieses Skript suchte nach 6.236 Browser-Erweiterungen, indem es versuchte, auf Dateiressourcen zuzugreifen, die mit einer bestimmten Erweiterungs-ID verknüpft waren – eine bekannte Technik, um festzustellen, ob Erweiterungen installiert sind.
Über dieses Fingerprinting-Skript wurde bereits im Jahr 2025 berichtet, doch damals erkannte es nur etwa 2.000 Erweiterungen. Ein anderes GitHub-Repository von vor zwei Monaten zeigt, dass 3.000 Erweiterungen erkannt wurden, was belegt, dass die Zahl der erkannten Erweiterungen weiter wächst.
Zwar beziehen sich viele der gescannten Erweiterungen auf LinkedIn, doch erkannte das Skript seltsamerweise auch Sprach- und Grammatik-Erweiterungen, Tools für Steuerfachleute und andere scheinbar nicht damit zusammenhängende Funktionen.
Das Skript sammelt zudem eine Vielzahl von Browser- und Gerätedaten, darunter die Anzahl der CPU-Kerne, den verfügbaren Speicher, die Bildschirmauflösung, die Zeitzone, Spracheinstellungen, den Akkustatus, Audioinformationen und Speicherfunktionen.
BleepingComputer konnte die Behauptungen im BrowserGate-Bericht über die Verwendung der Daten oder darüber, ob diese an Drittunternehmen weitergegeben werden, nicht verifizieren.
Allerdings wurden in der Vergangenheit ähnliche Fingerprinting-Techniken eingesetzt, um einzigartige Browserprofile zu erstellen, die eine Nachverfolgung von Nutzern über verschiedene Webseiten hinweg ermöglichen.
LinkedIn bestreitet Vorwürfe zur Datennutzung
LinkedIn bestreitet nicht, dass es bestimmte Browser-Erweiterungen erkennt, und teilte BleepingComputer mit, dass die Informationen zum Schutz der Plattform und ihrer Nutzer verwendet werden.
Das Unternehmen behauptet jedoch, der Bericht stamme von einer Person, deren Konto wegen Scraping von LinkedIn-Inhalten und Verstoßes gegen die Nutzungsbedingungen der Plattform gesperrt wurde.
Die Behauptungen auf der hier verlinkten Webseite sind schlichtweg falsch. Die Person, die dahintersteht, unterliegt einer Kontosperre wegen Scraping und anderer Verstöße gegen die Nutzungsbedingungen von LinkedIn.
Um die Privatsphäre unserer Mitglieder und ihre Daten zu schützen sowie die Stabilität der Webseite zu gewährleisten, suchen wir nach Erweiterungen, die ohne Zustimmung der Mitglieder Daten scrapen oder auf andere Weise gegen die Nutzungsbedingungen von LinkedIn verstoßen.
Der Grund dafür ist folgender: Einige Erweiterungen verfügen über statische Ressourcen (Bilder, JavaScript), die in unsere Webseiten eingefügt werden können. Wir können das Vorhandensein dieser Erweiterungen erkennen, indem wir prüfen, ob die URL dieser statischen Ressource existiert. Diese Erkennung ist in der Chrome-Entwicklerkonsole sichtbar. Wir nutzen diese Daten, um festzustellen, welche Erweiterungen gegen unsere Bedingungen verstoßen, um unsere technischen Abwehrmaßnahmen zu optimieren und um zu verstehen, warum ein Mitgliederkonto möglicherweise eine übermäßige Menge an Daten anderer Mitglieder abruft, was in großem Umfang die Stabilität der Webseite beeinträchtigt. Wir verwenden diese Daten nicht, um sensible Informationen über Mitglieder abzuleiten.
Zum weiteren Kontext: Als Vergeltungsmaßnahme für die Kontosperrung dieses Webseitenbetreibers versuchte dieser, in Deutschland eine einstweilige Verfügung zu erwirken, wobei er behauptete, LinkedIn habe gegen verschiedene Gesetze verstoßen. Das Gericht entschied gegen ihn und befand, dass seine Ansprüche gegen LinkedIn unbegründet seien; vielmehr verstießen die eigenen Datenpraktiken dieser Person gegen das Gesetz.
Leider handelt es sich hier um einen Fall, in dem eine Person vor Gericht gescheitert ist, nun aber versucht, den Fall vor dem Gericht der öffentlichen Meinung erneut zu verhandeln, ohne Rücksicht auf die Richtigkeit der Angaben.
LinkedIn behauptet, der BrowserGate-Bericht gehe auf einen Streit mit dem Entwickler einer LinkedIn-bezogenen Browser-Erweiterung namens "Teamfluence" zurück, die LinkedIn nach eigenen Angaben wegen Verstoßes gegen die Nutzungsbedingungen der Plattform gesperrt habe.