De acordo com um relatório da **Fairlinked e.V.**, uma associação comercial de usuários do **LinkedIn**, a plataforma injeta JavaScript nas sessões dos usuários para verificar milhares de extensões de navegador, vinculando os resultados a perfis de usuário identificáveis. Alega-se que esse comportamento coleta informações pessoais e corporativas sensíveis, uma vez que as contas do **LinkedIn** estão vinculadas a identidades reais, empregadores e cargos. ### Detecção de Extensões e Inteligência Competitiva O relatório afirma que o **LinkedIn** escaneia mais de 200 produtos que competem diretamente com suas próprias ferramentas de vendas, incluindo **Apollo**, **Lusha** e **ZoomInfo**. Ao correlacionar perfis de usuário com extensões detectadas, o **LinkedIn** poderia potencialmente mapear quais empresas usam produtos concorrentes, essencialmente extraindo listas de clientes sem o conhecimento do usuário. O relatório alega ainda que o **LinkedIn** usou esses dados para enviar ameaças de aplicação a usuários de ferramentas de terceiros. O **BleepingComputer** confirmou independentemente partes dessas alegações, observando um arquivo JavaScript com um nome de arquivo aleatório carregado pelo site do **LinkedIn**. Este script verificou 6.236 extensões de navegador tentando acessar recursos de arquivo associados a um ID de extensão específico, uma técnica conhecida para detectar extensões instaladas. Este script de fingerprinting foi relatado anteriormente em 2025 detectando aproximadamente 2.000 extensões, mas o número cresceu significativamente. Um repositório **GitHub** separado mostrou 3.000 extensões sendo detectadas há dois meses, ilustrando o escopo crescente dessa prática.  *Trecho da lista de extensões escaneadas pelo script do LinkedIn* *Fonte: BleepingComputer* Embora muitas das extensões escaneadas estejam relacionadas ao **LinkedIn**, o script também detecta ferramentas de linguagem e gramática, software fiscal e outros recursos aparentemente não relacionados. ### Coleta de Dados do Dispositivo O script também coleta uma ampla gama de dados do navegador e do dispositivo, incluindo contagem de núcleos de CPU, memória disponível, resolução de tela, fuso horário, configurações de idioma, status da bateria, informações de áudio e recursos de armazenamento. Esses dados podem ser usados para fingerprinting de navegador, uma técnica usada para rastrear usuários na web.  *Coletando informações sobre os dispositivos dos visitantes* *Fonte: BleepingComputer* O **BleepingComputer** não pôde verificar independentemente as alegações relativas ao uso desses dados ou se eles são compartilhados com empresas terceirizadas. ### Resposta do LinkedIn O **LinkedIn** reconhece a detecção de extensões de navegador específicas, mas nega o uso dos dados para fins nefastos. A empresa afirma que as informações são usadas para proteger a plataforma e seus usuários. O **LinkedIn** também afirma que o relatório **BrowserGate** se origina de um indivíduo cuja conta foi banida por fazer scraping de conteúdo do **LinkedIn** e violar os termos de uso do site. O **LinkedIn** forneceu a seguinte declaração: > "As alegações feitas no site vinculado aqui estão completamente erradas. A pessoa por trás delas está sujeita a uma restrição de conta por scraping e outras violações dos Termos de Serviço do LinkedIn. > > Para proteger a privacidade de nossos membros, seus dados e garantir a estabilidade do site, verificamos extensões que fazem scraping de dados sem o consentimento dos membros ou que violam os Termos de Serviço do LinkedIn. > > Eis o porquê: algumas extensões têm recursos estáticos (imagens, javascript) disponíveis para injetar em nossas páginas da web. Podemos detectar a presença dessas extensões verificando se o URL desse recurso estático existe. Essa detecção é visível dentro do console do desenvolvedor do Chrome. Usamos esses dados para determinar quais extensões violam nossos termos, para informar e melhorar nossas defesas técnicas e para entender por que uma conta de membro pode estar buscando uma quantidade excessiva de dados de outros membros, o que, em escala, afeta a estabilidade do site. Não usamos esses dados para inferir informações confidenciais sobre os membros. > > Para contexto adicional, em retaliação à restrição da conta do proprietário deste site, ele tentou obter uma liminar na Alemanha, alegando que o LinkedIn havia violado várias leis. O tribunal decidiu contra ele e considerou que suas alegações contra o LinkedIn não tinham mérito e, de fato, as próprias práticas de dados desse indivíduo infringiram a lei. > > Infelizmente, este é um caso de um indivíduo que perdeu no tribunal, mas está buscando reabrir o caso na corte da opinião pública sem consideração pela precisão." > ❖ LinkedIn O **LinkedIn** afirma que o relatório **BrowserGate** decorre de uma disputa envolvendo o desenvolvedor da extensão de navegador **Teamfluence**, que o **LinkedIn** afirma ter restringido por violar os termos da plataforma. Um tribunal alemão negou o pedido de liminar do desenvolvedor, considerando que as ações do **LinkedIn** não constituíam obstrução ou discriminação ilegal. ### Uma Tendência Mais Ampla de Fingerprinting Independentemente das razões por trás do relatório, o **LinkedIn** usa um script de fingerprinting que detecta mais de 6.000 extensões em execução em um navegador Chromium, juntamente com outros dados do sistema. Essa prática não é exclusiva do **LinkedIn**. Em 2021, descobriu-se que o **eBay** usava JavaScript para realizar varreduras automatizadas de portas nos dispositivos dos visitantes para detectar software de suporte remoto. Outras empresas, incluindo **Citibank**, **TD Bank**, **Ameriprise**, **Chick-fil-A**, **Lendup**, **BeachBody**, **Equifax IQ connect**, **TIAA-CREF**, **Sky**, **GumTree** e **WePay**, também usaram scripts de fingerprinting semelhantes. Pentesting Automatizado Cobre Apenas 1 de 6 Superfícies. Pentesting automatizado prova que o caminho existe. BAS prova se seus controles o impedem. A maioria das equipes executa um sem o outro. Este whitepaper mapeia seis superfícies de validação, mostra onde a cobertura termina e fornece aos profissionais três perguntas diagnósticas para qualquer avaliação de ferramenta.