LinkedIn gizli olarak kullanıcılarının cihazlarındaki kurulu yazılım ürünleri hakkında bilgi topluyor.

Alman kuruluşu Fairlinked e.V., LinkedIn’in gizli “kontrolünü” ortaya çıkardı

> Kim:

> *Fairlinked e.V.* – Almanya’da LinkedIn ticari kullanıcıları derneği, “BrowserGate” adlı soruşturmayı başlatmış.

> Ne bulduk:

> LinkedIn (Microsoft’a ait) Chromium tabanlı tarayıcı uzantılarını gizlice tarayarak her kullanıcının hangi eklentilere sahip olduğunu belirliyor. Sayfa açıldığında *isUserAgentChrome()* fonksiyonu çalışıyor ve eklentilerin erişebileceği dosyaları açmaya çalışıyor. Dosya erişilebilir ise eklenti yüklü kabul ediliyor; değilse yok. Tüm süreç milisaniye sürüyor ve kullanıcı farkında olmadan gerçekleşiyor.

> Toplanan veriler:

> 1. Yüklenmiş uzantıların listesi (6167’den fazla öğe).
> 2. Bu uzantılarla gerçek isimler, işverenler ve pozisyonlar arasında bağlantı.
> 3. Şirket çalışanlarının hangi araçları kullandığı bilgisi.

> Nasıl yapılıyor:

> * LinkedIn sonuçları kendi sunucularına ve üçüncü taraf şirketlere gönderiyor.
> * Süreçte HUMAN Security (eski PerimeterX) firmasının “görünmez” izleyici bileşeni tespit edildi – sıfır genişlikli bir öğe, kullanıcı haberi olmadan çerez koyuyor.

> Neden önemli:

> LinkedIn 1 milyardan fazla kullanıcıya sahip ve gerçek isimlere bağlanmış verileri saklıyor. Bu nedenle her bulunan uzantı belirli bir kişiye ilişkilendirilebilir ve toplu olarak bir şirketin faaliyetleri (örneğin çalışanların hangi işe alım servislerini kullandığı) ortaya çıkabilir.

> Araştırmacılar ne buldu:

> * 509 iş arama aracı (Indeed, Glassdoor, Monster).
> * Dini bağlılık, siyasi görüş, engellilik ve nöro gelişim özelliklerine işaret eden uzantılar.
> * 200’den fazla rekabetçi servis (Apollo, Lusha, ZoomInfo, Hunter.io).

> Yasal risk:

> * GDPR, din, politika ve sağlık verilerini “özel kategoriler” olarak sınıflandırıyor; bu verilerin işlenmesi açık rıza gerektiriyor. Fairlinked e.V.’ye göre LinkedIn böyle bir rızayı almadı ve kullanıcıları bilgilendirmedi.
> * ePrivacy Directive ve Digital Markets Act (DMA) kapsamında şikayetler mümkündür.

> Uygulamanın ölçeği:

> İzlenen uzantı listesi 2024’te 461’den 2026 Şubat ayına kadar 6000’in üzerine çıktı – %1252 artış.
> * LinkedIn, “BrowserGate”in tek bir engellenmiş hesabın faaliyeti olduğunu iddia ediyor.
> * Bağımsız kaynaklar taramanın en azından 2017’de başladığını (38 uzantı) gösteriyor.
> * Tahmini kitle: ≈ 405 milyon LinkedIn kullanıcısı izlenebilir uzantılarla.

> Düzenleyici süreç durumu:

> AB düzenleyicileri zaten bilgilendirildi. Hukuki soruşturmalar bekleniyor. Chromium tabanlı tarayıcı kullananlar gizli kontrolden günlük olarak etkilenmeye devam ediyor.

> Kullanıcılar ne yapabilir:

1. Firefox veya Safari’ye geçmek – bu tarayıcılar Chrome uzantı mimarisini kullanmaz ve LinkedIn taramasına maruz kalmaz.
2. Tarayıcının ayarlarından eklentilerin otomatik başlatılmasını devre dışı bırakmak, mümkünse.
3. Dosya erişimini kontrol etmeye izin veren açık kaynaklı eklentiler kullanmak.
4. Yüklü eklentilerin izinlerini incelemek ve gereksiz olanları kaldırmak.

> Sonuç:

> LinkedIn, Chromium tabanlı tarayıcılarda kullanıcı uzantılarını gizli olarak tespit ediyor, bunları kişisel verilerle ilişkilendiriyor ve bilgiyi üçüncü taraf şirketlere gönderiyor. Bu durum GDPR uyumluluğu ve gizlilik konularında ciddi endişelere yol açıyor ve AB’de düzenleyici soruşturmaların hedefi olabilir. Kullanıcılar alternatif tarayıcılara geçerek veya eklenti erişimini kısıtlayarak kendilerini koruyabilir.