Theo báo cáo BrowserGate của tổ chức Fairlinked và được chuyên trang bảo mật BleepingComputer xác nhận, LinkedIn đã chèn một đoạn mã JavaScript vào mỗi lần tải trang. Đoạn mã này có khả năng quét trình duyệt người dùng nhằm phát hiện tới 6.236 tiện ích mở rộng (extension) trên Chrome nếu chúng được cài đặt, đồng thời thu thập các dữ liệu đo lường chi tiết của thiết bị.
Cơ chế hoạt động của mã ẩn là cố gắng truy cập các tài nguyên tệp gắn với ID của từng tiện ích cụ thể – một kỹ thuật phổ biến để xác định sự hiện diện của extension trên các trình duyệt sử dụng nhân Chromium. Số lượng tiện ích bị theo dõi đã tăng mạnh, từ khoảng 2.000 vào năm 2025 lên hơn 6.000 hiện nay.
Không chỉ dừng ở việc quét tiện ích, LinkedIn còn thu thập nhiều thông số phần cứng của thiết bị người dùng như số lõi CPU, dung lượng bộ nhớ khả dụng, độ phân giải màn hình, múi giờ, cài đặt ngôn ngữ và trạng thái pin. Những dữ liệu này thường được dùng để tạo hồ sơ thiết bị ẩn danh, tuy nhiên do tài khoản LinkedIn gắn với danh tính thật, nghề nghiệp và nơi làm việc, chúng có thể bị sử dụng để định danh cá nhân một cách chính xác hơn.
Báo cáo của Fairlinked cũng cho biết nhiều tiện ích bị nhắm đến là các công cụ hỗ trợ bán hàng hoặc thu thập dữ liệu, cạnh tranh trực tiếp với LinkedIn như Apollo, Lusha hay ZoomInfo. Tổng cộng có hơn 200 sản phẩm đối thủ nằm trong danh sách theo dõi. Ngoài ra, một số tiện ích về ngôn ngữ, ngữ pháp và phần mềm chuyên ngành thuế cũng bị quét dù không có liên hệ rõ ràng với nền tảng.
Nguồn dữ liệu thu thập được được cho là gửi tới HUMAN Security, công ty an ninh mạng có trụ sở tại Mỹ và Israel, tuy nhiên thông tin này chưa được các bên thứ ba xác nhận.
Phản hồi về vấn đề, đại diện LinkedIn cho biết việc quét dữ liệu nhằm phát hiện các tiện ích vi phạm điều khoản dịch vụ hoặc thực hiện hành vi thu thập dữ liệu trái phép. Theo đó, mục tiêu là bảo vệ quyền riêng tư của người dùng và đảm bảo sự ổn định của nền tảng.
Mạng xã hội thuộc sở hữu của Microsoft cũng cho biết báo cáo từ Fairlinked được công bố bởi một cá nhân từng bị khóa tài khoản do vi phạm điều khoản. Trước đó, một tòa án tại Đức đã bác đơn kiện của người này, đồng thời ủng hộ quyền của LinkedIn trong việc chặn các tài khoản tham gia thu thập dữ liệu tự động.
LinkedIn không phải nền tảng duy nhất áp dụng kỹ thuật này. Trước đó, vào năm 2021, eBay cũng từng sử dụng phương thức tương tự để quét các cổng trên thiết bị của người dùng nhằm phát hiện phần mềm điều khiển từ xa. Các đoạn mã dạng này sau đó cũng được phát hiện trên website của nhiều ngân hàng và tổ chức tài chính lớn.
Bình luận
0