Resumindo: Cada vez que você visita o LinkedIn em um navegador baseado no Chrome, o uso de JavaScript oculto verifica silenciosamente seu navegador em busca de mais de 6.000 extensões instaladas, aborda 48 recursos de hardware e software em seu dispositivo, criptografa a impressão digital resultante e a anexa a cada solicitação de API que você faz em sua sessão. A prática, rotulada como “BrowserGate” pelos pesquisadores, não é divulgada na política de privacidade do LinkedIn. LinkedIn diz que é uma medida de segurança; Os críticos dizem que ela está mantendo a privacidade de bilhões de usuários ao capturar seu comportamento em escala industrial.
É um aplicativo que roda no seu computador sempre que você abre o LinkedIn. Você não pode ver, não é informado sobre isso e não está descrito na política de privacidade da empresa. De acordo com uma pesquisa publicada no início de abril de 2026 pela Fairlinked eV, uma empresa de usuários empresariais europeus do LinkedIn, a plataforma injeta um arquivo JavaScript de 2,7 megabytes em seu site que verifica silenciosamente os navegadores dos visitantes em busca de mais de 6.000 extensões específicas do Chrome, coleta cada um de seus hardwares, criptografa-o, coleta um dedo e o transmite aos servidores anexados aos resultados, onde a ação é anexada, onde é anexada.
Conhecimento, de forma independente confirmado por BleepingComputercujo comportamento é verificado por seu teste, denominado “BrowserGate”. O LinkedIn discute vários relacionamentos de relacionamento. Os aspectos técnicos não estão em disputa.
O que está escrito
O LinkedIn chama o sistema de visualização de “Espectroscópio”. Quando um usuário carrega o site do LinkedIn, o script dispara até 6.222 solicitações simultâneas, cada uma procurando uma extensão específica do navegador, tentando acessar arquivos associados ao ID dessa extensão. A presença ou ausência do arquivo na resposta indica se a extensão está instalada. Toda a operação é executada silenciosamente em segundo plano, sem aviso visível ou notificação de qualquer tipo.
Tecnologia da UE
As últimas notícias sobre o cenário tecnológico da UE, uma história sobre os sábios do autor Boris e alguma arte questionável de IA. É grátis, toda semana, na sua caixa de entrada. Cadastre-se agora!
Além das extensões, o script coleta 48 características distintas do dispositivo do usuário: contagem de núcleos da CPU, memória disponível, resolução da tela, fuso horário, configurações de idioma, status da bateria, informações de hardware de áudio, capacidade de armazenamento, entre outras. Esses atributos individuais são notáveis. Combinados, criam uma imagem suficiente para identificar o utilizador mesmo depois de os cookies terem sido apagados.
Depois de compilados, os dados são serializados em JSON e criptografados usando uma chave pública RSA, o identificador interno do LinkedIn para a chave é “apfcDfPK”, antes de serem enviados para os endpoints de telemetria li/track e /platform-telemetry/li/apfcDf. A impressão digital é então incorporada permanentemente como um cabeçalho HTTP em cada solicitação de API feita durante a sessão, que é o que o LinkedIn recebe em cada pesquisa, cada visualização, cada mensagem enviada.
O que você está procurando?
A questão de quais extensões o LinkedIn está analisando torna a vigilância mais sensível do que a simples detecção de fraudes. De acordo com um relatório do BrowserGate, a lista do LinkedIn inclui mais de 200 produtos que competem diretamente com ferramentas de vendas, incluindo Apollo, Lusha e ZoomInfo. Como o LinkedIn conhece o empregador de cada usuário, observar sistematicamente a presença da mídia de um concorrente proporciona uma plataforma de visibilidade na qual as empresas avaliam ou desenvolvem produtos rivais.
A lista também inclui ferramentas associadas a condições neurodivergentes, práticas religiosas, interesses políticos e atividades de procura de emprego, categorias que se qualificam como dados pessoais sensíveis ao abrigo do Regulamento Geral de Proteção de Dados da União Europeia. Saber que um usuário executa uma extensão de mecanismo de busca, por exemplo, é uma inferência significativa sobre as intenções do usuário, feita sem consentimento.
A escala da operação cresceu substancialmente ao longo do tempo. O LinkedIn começou a procurar 38 extensões específicas em 2017. Em 2024, esse número cresceu para 461. Em fevereiro de 2026, a lista atingiu 6.167, um aumento de 1.252% em dois anos. BleepingComputer confirmou que o teste estava ativo no início de abril de 2016.
LinkedIn é uma fonte de defesa e referência
A resposta do LinkedIn ao BleepingComputer é indicada. “As afirmações feitas nesta página da web são manifestamente falsas“Ele disse.”A pessoa por trás deles está sujeita a restrições de conta por exclusão e outras violações dos Termos de Serviço do LinkedIn. Para proteger a privacidade de nossos usuários e seus dados e manter a estabilidade do site, procuramos extensões que compartilhem dados sem o consentimento dos usuários ou que de outra forma violem os termos de serviço do LinkedIn.. A empresa acrescentou que não usa os dados para “Coletamos informações confidenciais sobre os membros.“
Na caracterização da plataforma da origem das coisas. Fairlinked eV é afiliada à Teamfluence Signed Systems OÜ, uma empresa da Estônia, cujos diretores administrativos incluem Steven Morell e Jan Liebling. Teamfluence faz uma extensão do Chrome, também chamada Teamfluence, que torna o LinkedIn restrito por supostas violações dos termos de serviço. A empresa então entrou com uma liminar contra o LinkedIn Ireland Unlimited e o LinkedIn Germany GmbH no Tribunal Regional de Munique, alegando violações da Lei dos Fóruns Digitais, da Lei de Concorrência da UE e dos regulamentos alemães de proteção de dados. Em janeiro de 2026, o tribunal de Munique negou a proibição, uma vez que as ações do LinkedIn não constituíam interferência ilegal ou discriminação.
A discussão financeira entre as partes não altera as conclusões técnicas, que foram verificadas de forma independente. Isto significa que a interpretação destas descobertas é questionada e os leitores devem pesar tanto a substância do assunto como a sua proveniência.
Contexto regulatório
Isto não está relacionado com a primeira reunião séria com a aplicação da protecção de dados na Europa. Em outubro de 2024, a Comissão Irlandesa de Proteção de Dados, que regulamenta o LinkedIn na UE através da sua subsidiária irlandesa, multou a empresa em 310 milhões de euros, cerca de 334 milhões de dólares, por processar dados pessoais dos utilizadores para publicidade direcionada sem uma base legal válida. A política concluiu que os mecanismos de consentimento do LinkedIn não atendem ao requisito do GDPR de que o consentimento seja “dado gratuitamente. O LinkedIn foi obrigado a adequar seu processamento de dados.
A pesquisa do BrowserGate se enquadra no contexto. A questão jurídica de saber se a navegação através de 6.000 extensões constitui um tratamento especial de dados pessoais, e se a falta de conhecimento da prática torna inválido qualquer consentimento tácito, é exactamente o tipo de questão que a Comissão Irlandesa de Protecção de Dados já indicou que pretende abordar em tribunal. O quadro constitucional digital em evolução da Europa ele procurava constantemente explicar a divulgação de todas as recolhas de dados significativas, e uma investigação desta escala, realizada sem menção a uma política de privacidade, parece difícil de conciliar com a direção da viagem.
O LinkedIn é uma subsidiária da Microsoft, adquirida em 2016 por US$ 26,2 bilhões. A Microsoft está a expandir agressivamente as suas capacidades de IA em 2026, com os vastos dados de identidades profissionais e históricos de trabalho do LinkedIn formando uma parte significativa da infraestrutura de dados em que residem essas capacidades. A relação entre a recolha de dados do LinkedIn e as ambições mais amplas de IA da Microsoft não é abordada na política de privacidade do LinkedIn.
O que isso significa para os usuários
O LinkedIn tem mais de um bilhão de usuários registrados. Acessando múltiplas plataformas por meio de navegadores baseados no Chrome, o espectroscópio é usado para pesquisar uma fração significativa de dispositivos de trabalho profissionais globais, pegando um dedo com precisão suficiente para persistir durante redefinições de cookies e alimentar os dispositivos.
Exceto usar um navegador não-chromium, como o Firefox, que limita, mas não necessariamente elimina, os recursos de representação do LinkedIn, não há configuração de usuário anti-varredura. A Rostra não oferece opt-out porque, em primeiro lugar, não expõe a prática. 2026 impulsionará práticas de IA e dados guiadas e transparentes É precisamente construído a partir da premissa de que este tipo de dados não deve ser uma falha invisível de coleta.
Ainda não se sabe se os reguladores agirão com rapidez suficiente para mudar esse padrão na escala do LinkedIn. As empresas de segurança estão cada vez mais preparadas para detectar exatamente esse tipo de dados ocultos À medida que o setor se torna independente, o mercado indica que o meio-termo entre o que os conselhos coletam e o que os usuários entendem ainda é muito amplo. Em 2025, a coleta de dados baseada em IA será normalizada Em paz, essa instituição ainda é igual. BrowserGate é um estudo de caso sobre como é ser preguiçoso dentro de um navegador.
