LinkedIn memindai ekstensi browser pengguna

 (browsergate.eu)
2 poin oleh GN⁺ 18 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Telah dikonfirmasi bahwa LinkedIn diam-diam memindai ekstensi browser milik pengguna dan mengirimkan hasilnya ke server milik sendiri maupun pihak ketiga
  • Proses ini berjalan tanpa persetujuan atau pemberitahuan kepada pengguna, dan tidak dicantumkan dalam kebijakan privasi LinkedIn
  • Target pemindaian mencakup ekstensi yang dapat mengungkap informasi sensitif seperti pandangan politik, agama, disabilitas, dan aktivitas mencari kerja
  • Melalui ini, LinkedIn dapat mengidentifikasi perusahaan yang menggunakan produk pesaing, dan pernah mengancam pengguna alat pihak ketiga dengan sanksi
  • Fairlinked e.V. menyebut ini sebagai pelanggaran privasi berskala besar dan aksi spionase perusahaan, serta sedang mendorong langkah hukum dan pelaporan publik

Dugaan pencarian ilegal terhadap ekstensi browser oleh LinkedIn

  • LinkedIn terbukti diam-diam mencari ekstensi browser yang terpasang di komputer pengguna, lalu mengirimkan hasilnya ke server milik sendiri maupun pihak ketiga
    • Kode ini berjalan tanpa persetujuan atau pemberitahuan kepada pengguna, dan tidak ada penjelasan terkait dalam kebijakan privasi LinkedIn
    • Data yang dikumpulkan juga dikirim ke perusahaan pihak ketiga seperti HUMAN Security (sebelumnya PerimeterX)
  • Karena LinkedIn memiliki informasi nama asli, perusahaan tempat bekerja, dan jabatan pengguna, pemindaian ini dilakukan bukan terhadap pengunjung anonim, melainkan terhadap individu dan perusahaan yang dapat diidentifikasi
    • Akibatnya, informasi internal dari jutaan perusahaan di seluruh dunia berpotensi dikumpulkan setiap hari
    • Hasil investigasi menunjukkan bahwa praktik ini kemungkinan ilegal atau dapat tergolong tindak pidana di semua yurisdiksi yang ditinjau

Pihak yang menyelidiki dan tujuannya

  • Fairlinked e.V. adalah asosiasi pengguna LinkedIn komersial yang mewakili profesional, perusahaan, dan pengembang alat yang bergantung pada platform tersebut
  • BrowserGate adalah investigasi dan kampanye yang dijalankan organisasi ini untuk mendokumentasikan spionase perusahaan berskala besar dan pelanggaran privasi, memberi tahu publik dan regulator, serta mengumpulkan bukti dan dana untuk langkah hukum

Temuan utama

  • Pelanggaran privasi berskala besar

    • Pemindaian LinkedIn mendeteksi ekstensi yang dapat mengungkap agama, kecenderungan politik, status disabilitas, dan aktivitas mencari kerja pengguna
    • Contohnya mencakup ekstensi untuk pemeluk Islam, ekstensi terkait orientasi politik, alat untuk pengguna neurodivergen, serta 509 ekstensi terkait pencarian kerja
    • Data semacam ini termasuk dalam kategori yang dilarang untuk dikumpulkan menurut hukum Uni Eropa, namun LinkedIn melakukannya tanpa persetujuan, pengungkapan, maupun dasar hukum

  • Spionase perusahaan dan pengambilan rahasia dagang

    • LinkedIn memindai lebih dari 200 produk yang bersaing dengan alat penjualan miliknya sendiri, termasuk Apollo, Lusha, ZoomInfo
    • Dengan informasi tentang perusahaan tempat pengguna bekerja, LinkedIn dapat mengetahui perusahaan mana yang menggunakan produk pesaing mana, yang pada akhirnya berarti mengekstrak daftar pelanggan ribuan perusahaan perangkat lunak tanpa izin
    • Ada kasus di mana LinkedIn menggunakan data ini untuk mengirim ancaman sanksi kepada pengguna alat pihak ketiga

  • Penghindaran regulasi Uni Eropa

    • Pada 2023, Uni Eropa menetapkan LinkedIn sebagai gatekeeper berdasarkan Digital Markets Act (DMA) dan memerintahkan agar akses untuk alat pihak ketiga diizinkan
    • Sebagai tanggapan, LinkedIn merilis dua API yang terbatas, tetapi keduanya hanya memungkinkan 0,07 panggilan per detik
    • Sementara itu, API internal Voyager menjalankan seluruh produk web dan mobile dengan 163.000 panggilan per detik
    • Dalam laporan Microsoft setebal 249 halaman ke Uni Eropa, kata “API” muncul 533 kali, tetapi “Voyager” tidak disebut satu kali pun
    • Pada saat yang sama, LinkedIn memperluas target pengawasan dengan memperbesar daftar pemindaian dari sekitar 461 produk pada 2024 menjadi lebih dari 6.000 per Februari 2026
    • Saat Uni Eropa menuntut pembukaan akses bagi alat pihak ketiga, LinkedIn justru membangun sistem untuk memantau dan menghukum pengguna

  • Transfer data ke pihak ketiga

    • LinkedIn memuat elemen pelacak tak terlihat (berukuran 0 piksel) dari HUMAN Security untuk menetapkan cookie tanpa disadari pengguna
    • Dari server LinkedIn sendiri, skrip fingerprinting dijalankan, dan skrip Google juga aktif pada setiap pemuatan halaman
    • Seluruh transfer data ini dienkripsi dan tidak diungkap ke publik

Permintaan dukungan

  • Microsoft memiliki 33.000 karyawan dan anggaran hukum sebesar 15 miliar dolar AS
  • Fairlinked menyatakan telah mengamankan bukti, tetapi membutuhkan dukungan personel dan dana untuk langkah hukum
  • Melalui situs webnya, mereka mendorong tindakan seperti partisipasi, donasi, dan pelaporan ke media

Bacaan terkait

1 komentar

 
GN⁺ 18 hari lalu
Komentar Hacker News

  • Judulnya terasa agak berlebihan
    Sebenarnya, setiap kali LinkedIn dibuka di browser berbasis Chrome, JavaScript diam-diam memindai ekstensi browser yang terpasang, lalu mengenkripsi hasilnya dan mengirimkannya ke server
    Tindakan ini memang terlihat invasif, tetapi tampaknya merupakan salah satu bentuk fingerprinting browser yang kini sering terlihat di situs web dengan kode iklan
    Namun, cara memeriksa satu per satu ID ekstensi tertentu kemungkinan besar karena keterbatasan API
    Ini tetap bermasalah, tetapi saya tidak setuju dengan framing yang terlalu menakut-nakuti
    Karena alasan inilah saya memakai ad blocker

    • Apakah menjelajahi ekstensi browser bukankah sama saja dengan memindai komputer?
      Alasan Chrome mengacak extensionId di V3 memang untuk mencegah tindakan seperti ini
      Jika LinkedIn sampai memasukkan ekstensi terkait agama tertentu ke dalam daftar, itu tampaknya bukan sekadar alasan teknis melainkan pilihan yang disengaja
    • Saya rasa sikap yang ‘mengharapkan’ perilaku seperti ini sendiri sudah menjadi masalah
      Ad blocker bukan pertahanan yang sempurna, dan ekstraksi informasi serta manipulasi perilaku akan terus muncul dalam bentuk-bentuk baru
    • Mengejutkan bahwa bahkan FBI pun merekomendasikan ad blocker
      Namun jika semua orang benar-benar melakukannya, sebagian besar ekonomi internet akan runtuh
      Ironis bahwa FBI berada dalam posisi berkata, “Lindungi diri Anda dari model bisnis perusahaan terbesar ketiga di dunia”
    • Saya tidak melihat alasan apa pun bagi LinkedIn untuk mengintip ekstensi saya
      Tindakan seperti ini harus ditentang keras
    • Ini sudah beberapa kali di-reverse engineer
      Daftar ekstensi yang diperiksa LinkedIn sebagian besar adalah alat untuk spam dan scraping, dan ad blocker umum tidak termasuk
      Untuk pengguna yang sudah login, fingerprinting rasanya tidak terlalu diperlukan, jadi kemungkinan besar tujuannya hanya mendeteksi alat otomatisasi

  • Ini adalah pernyataan resmi dari pihak LinkedIn
    Akun pengangkat isu tersebut sedang dibatasi karena scraping dan pelanggaran syarat layanan, dan mereka mengatakan bahwa orang itu menyebarkan klaim palsu sebagai balasan
    LinkedIn menjelaskan bahwa untuk melindungi data anggota dan menjaga stabilitas situs, mereka mendeteksi ekstensi pengambil data tanpa izin
    Karena ekstensi mengekspos URL resource yang tetap, keberadaannya dapat diperiksa, dan ini berada pada tingkat yang bahkan terlihat di konsol developer
    Mereka mengklaim data ini hanya digunakan untuk mendeteksi pelanggaran syarat layanan dan meningkatkan pertahanan teknis, bukan untuk menyimpulkan informasi sensitif
    Mereka juga menambahkan bahwa pengadilan di Jerman memihak LinkedIn

    • Pelanggaran privasi tidak bisa dibenarkan, apa pun tujuannya
      Jika ada risiko pandangan politik, agama, atau orientasi seksual pengguna terekspos, itu jauh lebih serius daripada penegakan syarat layanan
      Saya tidak paham mengapa memakai cara seinvasif ini untuk sesuatu yang sebenarnya bisa ditangani cukup dengan memblokir akun yang trafiknya berlebihan
      Ini juga mengingatkan bahwa sejak awal pertumbuhannya, LinkedIn punya rekam jejak mengais buku alamat pengguna tanpa izin lalu mengirim email
    • Saya ingin tahu apakah LinkedIn bisa mempublikasikan daftar ekstensi berbahaya yang mereka maksud
    • Ada respons bahwa ini sulit dipercaya karena hanya berisi klaim tanpa bukti
    • Sulit mempercayai Microsoft dan LinkedIn karena mereka juga pernah berbohong soal pengumpulan data di masa lalu
    • Ada juga respons sinis yang mempertanyakan apakah Microsoft, yang berinvestasi di OpenAI, punya hak untuk mengkritik pelanggaran hak kekayaan intelektual

  • Saya tidak punya akun LinkedIn, tetapi ada profil palsu atas nama saya
    Profil itu terhubung dengan perusahaan tempat saya sedang berkonsultasi, dan setelah saya mengirim email protes, LinkedIn mengirim email konfirmasi penghapusan
    Jadi, meski tidak punya akun, tampaknya LinkedIn bisa membuat profil secara otomatis, jadi perlu waspada

    • Saya penasaran bagaimana hal seperti ini bisa terjadi
      Apakah perusahaan mengunggah daftar karyawan, atau karena integrasi akun Microsoft, jalur detailnya tidak jelas
      Saya juga ingin tahu apakah ada prosedur untuk mengambil alih atau menghapus profil tersebut
    • Mungkin saja itu akun penipuan yang menyamar sebagai orang aslinya
      Setelah kerja jarak jauh makin meluas, kasus seperti ini meningkat, dan karena cukup untung hanya dengan menerima gaji beberapa kali, hal seperti ini sering terjadi
    • Kasus ini mungkin satu-satunya petunjuk yang menjelaskan mengapa LinkedIn melakukan tindakan seperti ini

  • Beberapa tahun lalu, fingerprinting tanpa izin seperti ini akan dianggap spyware
    ‘Spectroscopy’ yang dilakukan LinkedIn sekarang adalah pendekatan yang menggabungkan deteksi ekstensi dan analisis residu DOM
    Sulit diblokir dengan ad blocker, dan bahkan keluar dari Chrome pun tidak memberi perlindungan penuh
    Pada akhirnya, yang dibutuhkan adalah mode privasi sungguhan dari sisi pembuat browser

    • Sebenarnya layanan seperti reCAPTCHA juga sudah memakai fingerprinting browser selama lebih dari 15 tahun
      Deteksi ekstensi memang jarang, tetapi fingerprinting sendiri sudah lama menjadi praktik umum
      Saya mencoba menguji kerentanan browser saya di fingerprint.com/demo
    • Microsoft selalu seperti ini, mengunci produk yang inferior ke pasar
      Windows, Office, SharePoint, dan LinkedIn semuanya sama

  • Fakta bahwa LinkedIn mendeteksi ekstensi seperti filter konten Islam, tag anti-Zionis, dan alat bantu neurodiversitas adalah pelanggaran kepercayaan yang serius

    • Banyak dari ekstensi seperti itu kemungkinan sebenarnya adalah ekstensi berbahaya untuk mencuri data
      Dari luar terlihat seperti isu sosial atau alat aksesibilitas, tetapi di dalamnya sering kali mengambil data pengguna
    • Tindakan seperti ini hanyalah bagian dari ad targeting atau fingerprinting, bukan masalah khusus Microsoft
      Erosi kepercayaan sudah berlangsung di seluruh internet selama puluhan tahun
    • Saya kira ide seperti ini bukan lahir dari eksekutif jahat, melainkan hasil dari pegawai yang menempatkan uang di atas moral
    • Jika melihat daftar ekstensi yang dideteksi LinkedIn, banyak di antaranya adalah ekstensi yang menunjukkan kecenderungan politik seperti ‘Anti-woke’, ‘Vote With Your Money’, dan ‘No more Musk’

  • Saya rasa fakta bahwa situs web bisa mendeteksi ekstensi tertentu itu sendiri sudah merupakan masalah
    Jika memang ada kebutuhan yang sah, ekstensi seharusnya bisa memilih sendiri di situs mana ia akan mengekspos dirinya

    • Dalam praktiknya, ekstensi memang diatur agar aktif hanya di situs tertentu, dan keberadaannya bisa diperiksa lewat file resource publik yang terekspos saat itu
      LinkedIn memindai lebih dari 6000 ekstensi dengan cara ini
      Dulu hanya sekitar 100, tetapi sekarang diperluas jauh lebih agresif

  • Saya memisahkan browser pribadi dan browser kerja memakai cgroup dan jail yang berbeda
    Pengaturannya memang merepotkan, tetapi membuat saya tenang karena data pribadi dan data kerja tidak tercampur
    Setidaknya saya merekomendasikan memisahkan dua profil: satu untuk publik dan satu untuk privat
    Saya tidak suka Microsoft tahu apakah saya memasang ekstensi seperti ‘Otaku Neko StarBlazers Tru-Fen Extendomatic’

    • Saya juga punya profil Firefox terpisah untuk konten dewasa
    • Ada juga orang yang berkata mereka benar-benar mencarinya
    • Qubes OS sangat cocok untuk lingkungan terpisah seperti ini. Saya memakainya sehari-hari dan sangat merekomendasikannya

  • Pada akhirnya, insiden ini menunjukkan kegagalan sandbox Chrome
    Dibanding regulasi hukum, solusi teknis mungkin lebih sederhana dan lebih efektif

    • Ekstensi Chrome mengekspos file internal melalui web_accessible_resources di manifest.json
      LinkedIn memanfaatkan struktur ini untuk menentukan apakah ekstensi terpasang lewat request fetch
      Sulit memastikan apakah ini memang desain yang disengaja
    • Menurut komentar terkait, masalahnya tidak sesederhana itu
    • Masalah lainnya, developer Chrome tampaknya tidak punya motivasi kuat untuk mencegah pelacakan
      Pertahanan teknis dan kemarahan etis harus berjalan beriringan

  • Tidak ada alasan untuk mempercayai perusahaan teknologi besar
    Untuk menjaga privasi, kita harus memakai fitur container browser
    Ekstensi buatan saya, LinkedIn Container, mengisolasi aktivitas LinkedIn di Firefox
    Ke depannya saya akan meningkatkan ekstensi ini agar bisa memblokir upaya pemindaian oleh LinkedIn

  • Situasi ini memang mengerikan, tetapi sekaligus mengejutkan secara teknis bahwa JavaScript bisa memproses lebih dari 6000 fetch secara paralel
    Fakta bahwa efisiensi seperti ini bisa dicapai bahkan tanpa melewati network stack menunjukkan kemajuan JS