Laut einem Bericht von **Fairlinked e.V.**, einem gewerblichen Verband von **LinkedIn**-Nutzern, injiziert die Plattform JavaScript in Benutzersitzungen, um Tausende von Browsererweiterungen zu überprüfen und die Ergebnisse mit identifizierbaren Benutzerprofilen zu verknüpfen. Dieses Verhalten soll sensible persönliche und unternehmensbezogene Informationen sammeln, da **LinkedIn**-Konten mit echten Identitäten, Arbeitgebern und Berufsrollen verknüpft sind. ### Erkennung von Erweiterungen und Wettbewerbsinformationen Der Bericht behauptet, dass **LinkedIn** über 200 Produkte scannt, die direkt mit seinen eigenen Verkaufstools konkurrieren, darunter **Apollo**, **Lusha** und **ZoomInfo**. Durch die Korrelation von Benutzerprofilen mit erkannten Erweiterungen könnte **LinkedIn** potenziell abbilden, welche Unternehmen Konkurrenzprodukte nutzen, und so im Wesentlichen Kundenlisten ohne Wissen der Benutzer extrahieren. Der Bericht behauptet weiter, dass **LinkedIn** diese Daten verwendet hat, um Benutzern von Drittanbieter-Tools Drohungen wegen Verstößen zu senden. **BleepingComputer** hat Teile dieser Behauptungen unabhängig bestätigt und eine JavaScript-Datei mit zufälligem Dateinamen beobachtet, die von der **LinkedIn**-Website geladen wurde. Dieses Skript überprüfte 6.236 Browsererweiterungen, indem es versuchte, auf Dateiressourcen zuzugreifen, die mit einer bestimmten Erweiterungs-ID verbunden sind – eine bekannte Technik zur Erkennung installierter Erweiterungen. Dieses Fingerprinting-Skript wurde bereits 2025 gemeldet und erkannte damals etwa 2.000 Erweiterungen, aber die Zahl ist erheblich gestiegen. Ein separates **GitHub**-Repository zeigte vor zwei Monaten die Erkennung von 3.000 Erweiterungen, was den wachsenden Umfang dieser Praxis verdeutlicht.  *Snippet der Liste der von LinkedIns Skript gescannten Erweiterungen* *Quelle: BleepingComputer* Während viele der gescannten Erweiterungen mit **LinkedIn** in Verbindung stehen, erkennt das Skript auch Sprach- und Grammatiktools, Steuersoftware und andere scheinbar nicht verwandte Funktionen an. ### Erfassung von Gerätedaten Das Skript sammelt auch eine breite Palette von Browser- und Gerätedaten, darunter CPU-Kernanzahl, verfügbarer Arbeitsspeicher, Bildschirmauflösung, Zeitzone, Spracheinstellungen, Batteriestatus, Audioinformationen und Speicherfunktionen. Diese Daten können für Browser-Fingerprinting verwendet werden, eine Technik, die dazu dient, Benutzer im Web zu verfolgen.  *Sammeln von Informationen über die Geräte von Besuchern* *Quelle: BleepingComputer* **BleepingComputer** konnte die Behauptungen bezüglich der Verwendung dieser Daten oder der Weitergabe an Dritte nicht unabhängig verifizieren. ### LinkedIns Reaktion **LinkedIn** räumt die Erkennung bestimmter Browsererweiterungen ein, bestreitet jedoch, die Daten für böswillige Zwecke zu verwenden. Das Unternehmen behauptet, die Informationen würden zum Schutz der Plattform und ihrer Benutzer verwendet. **LinkedIn** gibt außerdem an, dass der **BrowserGate**-Bericht von einer Person stammt, deren Konto wegen des Scrapings von **LinkedIn**-Inhalten und der Verletzung der Nutzungsbedingungen der Website gesperrt wurde. **LinkedIn** gab die folgende Erklärung ab: > "Die auf der hier verlinkten Website gemachten Behauptungen sind schlichtweg falsch. Die Person dahinter unterliegt aufgrund von Scraping und anderen Verstößen gegen die Nutzungsbedingungen von LinkedIn einer Kontobeschränkung. > > Um die Privatsphäre unserer Mitglieder, ihre Daten zu schützen und die Stabilität der Website zu gewährleisten, suchen wir nach Erweiterungen, die Daten ohne Zustimmung der Mitglieder abgreifen oder anderweitig gegen die Nutzungsbedingungen von LinkedIn verstoßen. > > Hier ist der Grund: Einige Erweiterungen verfügen über statische Ressourcen (Bilder, JavaScript), die in unsere Webseiten injiziert werden können. Wir können die Anwesenheit dieser Erweiterungen erkennen, indem wir prüfen, ob die URL dieser statischen Ressource existiert. Diese Erkennung ist in der Chrome-Entwicklerkonsole sichtbar. Wir verwenden diese Daten, um festzustellen, welche Erweiterungen gegen unsere Bedingungen verstoßen, um unsere technischen Abwehrmaßnahmen zu informieren und zu verbessern und um zu verstehen, warum ein Mitgliedskonto eine übermäßige Menge an Daten anderer Mitglieder abruft, was in großem Umfang die Stabilität der Website beeinträchtigt. Wir verwenden diese Daten nicht, um sensible Informationen über Mitglieder abzuleiten. > > Als zusätzlichen Kontext hat diese Person als Vergeltung für die Kontobeschränkung versucht, in Deutschland eine einstweilige Verfügung zu erwirken und behauptet, LinkedIn habe verschiedene Gesetze verletzt. Das Gericht entschied gegen sie und stellte fest, dass ihre Ansprüche gegen LinkedIn unbegründet waren und dass die eigenen Datenpraktiken dieser Person tatsächlich gegen das Gesetz verstießen. > > Leider handelt es sich hier um einen Fall, in dem eine Person vor Gericht verloren hat, aber versucht, in der öffentlichen Meinung neu zu verhandeln, ohne Rücksicht auf die Genauigkeit." > ❖ LinkedIn **LinkedIn** behauptet, der **BrowserGate**-Bericht stamme aus einem Streit mit dem Entwickler der Browsererweiterung **Teamfluence**, die **LinkedIn** angeblich wegen Verstoßes gegen die Plattformbedingungen eingeschränkt hat. Ein deutsches Gericht lehnte den Antrag des Entwicklers auf eine einstweilige Verfügung ab und stellte fest, dass die Handlungen von **LinkedIn** keine rechtswidrige Behinderung oder Diskriminierung darstellten. ### Ein breiterer Trend des Fingerprintings Unabhängig von den Gründen für den Bericht verwendet **LinkedIn** ein Fingerprinting-Skript, das über 6.000 Erweiterungen in einem Chromium-Browser sowie andere Systemdaten erkennt. Diese Praxis ist nicht einzigartig für **LinkedIn**. Im Jahr 2021 wurde festgestellt, dass **eBay** JavaScript verwendet, um automatisierte Port-Scans auf den Geräten von Besuchern durchzuführen, um Remote-Support-Software zu erkennen. Andere Unternehmen, darunter **Citibank**, **TD Bank**, **Ameriprise**, **Chick-fil-A**, **Lendup**, **BeachBody**, **Equifax IQ connect**, **TIAA-CREF**, **Sky**, **GumTree** und **WePay**, haben ebenfalls ähnliche Fingerprinting-Skripte verwendet. Automatisierte Pentests decken nur 1 von 6 Oberflächen ab. Automatisierte Pentests beweisen, dass der Weg existiert. BAS beweist, ob Ihre Kontrollen ihn stoppen. Die meisten Teams führen das eine ohne das andere durch. Dieses Whitepaper beschreibt sechs Validierungsoberflächen, zeigt, wo die Abdeckung endet, und bietet Praktikern drei Diagnosefragen für jede Tool-Bewertung.