Przy każdym załadowaniu strony linkedin.com ukryty skrypt JavaScript sprawdza które z ponad 6000 rozszerzeń Chrome masz zainstalowane. Wyniki są szyfrowane i wysyłane na serwery LinkedIn oraz do przynajmniej jednej zewnętrznej firmy – HUMAN Security (dawniej PerimeterX). Nic z tego nie ma w polityce prywatności LinkedIn. Nikt cię o to nie pyta. Ujawniła to w tym tygodniu organizacja Fairlinked e.V. – niemieccy użytkownicy i twórcy narzędzi dla LinkedIn, którzy pełne dowody opublikowali na browsergate.eu. Hacker News ocenił wątek na 1693 punkty, co plasuje go wśród największych dyskusji tygodnia.
Jak LinkedIn skanuje rozszerzenia – mechanika ataku
Metoda jest prosta i nie wymaga żadnych uprawnień systemowych. Skrypt JavaScript ładowany na każdej podstronie linkedin.com próbuje pobrać znany plik z każdego z rozszerzeń na liście. Następnie po jego obecności w przeglądarce wnioskuje, że dane rozszerzenie jest zainstalowane. Chromium udostępnia tę technikę przez URL w formacie chrome-extension://[extension-id]/known-file.png.
Samo wykrywanie rozszerzeń to technika znana od lat, stosowana przez firmy bezpieczeństwa do wykrywania złośliwego oprogramowania. Kontrowersja w przypadku LinkedIn polega na skali, zakresie zbieranych danych i braku jakiejkolwiek informacji dla użytkownika.
Lista skanowanych rozszerzeń urosła z około 461 pozycji w 2024 roku do ponad 6000 w lutym 2026. Fairlinked sprawdziło aktywny podzbiór i potwierdza bliżej 2953 aktywnie monitorowanych rozszerzeń w momencie badania.
Co LinkedIn może z tego odczytać o Tobie?
Skala i zakres listy to miejsca, gdzie sprawa staje się poważna. Fairlinked podzieliło skanowane rozszerzenia na kategorie i wyniki są zaskakujące.
Przekonania religijne i polityczne: Lista zawiera rozszerzenia modlitewne, różańce cyfrowe, aplikacje dla muzułmanów do śledzenia czasu modlitwy, a także rozszerzenia identyfikujące preferencje polityczne użytkownika. Obecność lub brak tych rozszerzeń w przeglądarce może ujawnić wyznanie i poglądy polityczne.
Szukanie pracy w ukryciu: LinkedIn skanuje 509 narzędzi rekrutacyjnych – rozszerzeń do wyszukiwania ofert pracy, porównywania wynagrodzeń czy śledzenia aplikacji. Ktoś kto szuka pracy przez LinkedIn jednocześnie do swojego pracodawcy podłączonemu z kontem – naraża się na ryzyko ujawnienia tej aktywności.
Narzędzia konkurencji: LinkedIn sprawdza ponad 200 narzędzi bezpośrednio konkurencyjnych wobec jego własnego Sales Navigator – Apollo, Lusha, ZoomInfo, Hunter.io. Znając każdego użytkownika i jego pracodawcę, LinkedIn może mapować które firmy korzystają z jakiego oprogramowania sprzedażowego. To lista klientów tysięcy firm pobrana z przeglądarek ich pracowników bez żadnej zgody.
Stan zdrowia i neurodywergencja: Lista obejmuje rozszerzenia dla osób niewidomych, słabowidzących, z ADHD, dysleksją i innymi potrzebami specjalnymi.
Podstawa prawna i co z tym zrobić
Fairlinked twierdzi, że praktyka narusza europejskie prawo – konkretnie GDPR w zakresie przetwarzania danych wrażliwych (religia, zdrowie, poglądy polityczne) bez podstawy prawnej i bez informowania użytkownika. LinkedIn i Microsoft nie odpowiedziały na pytania do momentu publikacji raportu.
Dla użytkowników z UE – w tym polskich – GDPR daje prawo do wniesienia skargi do krajowego organu nadzorczego (w Polsce: UODO). Praktyczna wartość tej ścieżki zależy od szybkości reakcji organów, jednak sam fakt możliwości formalnej skargi ma znaczenie dla dalszego przebiegu sprawy.
Co możesz zrobić teraz:
Pierwsza opcja to używanie LinkedIn w osobnym profilu przeglądarki lub w trybie incognito. Rozszerzenia zainstalowane w głównym profilu nie są widoczne w izolowanym środowisku. Nie jest to idealne rozwiązanie, ale skutecznie odcina skanowanie.
Druga opcja to przegląd zainstalowanych rozszerzeń pod kątem wrażliwości danych. Narzędzia bezpośrednio związane z szukaniem pracy lub przekonaniami osobistymi warto wyizolować do osobnego profilu przeglądarki.
Trzecia opcja to blokowanie skryptów śledzących LinkedIn przez uBlock Origin z odpowiednimi listami filtrów. Wymaga to jednak konfiguracji i może zakłócić działanie części funkcji platformy.
Pierwsza Misja AI · Kodożercy
Rozumiesz zagrożenia AI, gdy rozumiesz jak naprawdę działa
Kurs Pierwsza Misja AI ma dedykowaną lekcję o ciemnej stronie AI: halucynacje, deepfakes, manipulacja. Zanim zaczniesz się bać – zacznij rozumieć.
Poznaj pełny program →
FAQ – najczęstsze pytania o LinkedIn BrowserGate
Czy to dotyczy tylko Chrome?
Technika wykrywania rozszerzeń przez URL chrome-extension:// działa we wszystkich przeglądarkach opartych na Chromium – Chrome, Edge, Brave, Opera, Vivaldi. Użytkownicy Firefoksa są bezpieczni, ponieważ Firefox używa innego schematu URL dla rozszerzeń, który nie jest podatny na tę metodę skanowania.
Czy LinkedIn narusza GDPR?
Fairlinked e.V. twierdzi, że tak – zbieranie danych wrażliwych (religia, zdrowie, poglądy polityczne) bez podstawy prawnej i bez informowania użytkownika to naruszenie art. 9 GDPR. LinkedIn do tej pory nie odpowiedziało na zarzuty. Ostateczna ocena prawna należy do organów nadzorczych – w Polsce UODO, w UE Irlandzka Komisja Ochrony Danych (główna jurysdykcja dla Meta/Microsoft w Europie).
Jak sprawdzić które moje rozszerzenia są na liście LinkedIn?
Pełna lista skanowanych rozszerzeń jest dostępna na browsergate.eu – możesz porównać swoje rozszerzenia z tą listą. Strona zawiera też narzędzie do samodzielnego sprawdzenia, które z Twoich rozszerzeń są wykrywalne przez tę technikę.
Podsumowanie
LinkedIn przez ukryty JavaScript skanuje ponad 6000 rozszerzeń Chrome przy każdej wizycie na stronie i wysyła wyniki do zewnętrznych firm. Dane te mogą ujawniać religię, poglądy polityczne, stan zdrowia i aktywność rekrutacyjną użytkowników – bez ich wiedzy i bez oparcia w polityce prywatności. Praktyczne minimum: LinkedIn w osobnym profilu przeglądarki lub incognito. Długoterminowo sprawa trafi prawdopodobnie do europejskich organów nadzorczych.
