Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
BrowserGate rivela una scansione nascosta delle estensioni del browser svolta da LinkedIn che associa dati sensibili agli utenti reali. Ogni accesso da browser Chromium attiva uno script invisibile che identifica le estensioni installate sul browser e le trasmette ai server e alle terze parti. Il sistema di scensione, scandaglia anche strumenti di ricerca di lavoro, indicatori religiosi e politiche. L’assenza di consenso esplicito solleva possibili violazioni del GDPR e apre indagini in Europa.
LinkedIn ultimamente è sotto i riflettori. E’ stato scoperto che esegue una scansione nascosta del browser ogni volta che un utente accede da Chrome o altri browser basati su Chromium.
Il codice JavaScript identificato, ha rilevato la scansione di migliaia di estensioni installate, associate ai dati delle identità, le quali successivamente vengono inviate ai server della piattaforma e a terze parti. L’operazione avviene senza un consenso esplicito da parte dell’utente e senza una menzione nella privacy policy, sollevando molti dubbi legali e di sicurezza.
LinkedIn è quindi finito al centro di un’indagine che mette in discussione il metodo attraverso il quale raccoglie dati dagli utenti. Il progetto denominato “BrowserGate“, è stato condotto da Fairlinked e.V., e ha rivelato una pratica che opera in silenzio ogni volta che si apre una pagina del social.
Non è un caso che tale meccanismo colpisca solamente il browser Chromium. Chrome, Edge, Brave, Opera e Arc dove viene attivata una funzione interna che consente al codice di avviare una scansione in pochi millisecondi, mentre Firefox e Safari restano esclusi da questo processo.
Ogni accesso che viene fatto su LinkedIn, attiva quindi uno script invisibile che verifica la presenza delle estensioni installate nel browser. Quando il file risponde, l’estensione viene identificata, pertanto il processo non mostra alcun segnale visibile all’utente.
Il database include oltre 6.167 estensioni, mentre nel 2024 erano circa 461. A febbraio 2026 hanno superato le 6.000, con un aumento del 1.252%. Questo aumento rappresenta una espansione mirata.
La questione è divenuta molto delicata per via del contesto. LinkedIn infatti, collega qualsiasi dato ai profili reali, aziende e ruoli professionali. Pertanto una estensione rilevata non resta un dato tecnico ma si trasforma in informazione personale associata a un’identità precisa.
I ricercatori hanno individuato anche delle categorie ritenute particolarmente sensibili. Tra queste compaiono 509 strumenti per la ricerca di lavoro come Indeed e Glassdoor. Questo significa che uno specifico utente potrebbe essere identificato mentre sta cercando delle nuove opportunità senza volerlo rendere pubblico.
Altri indicatori invece includono le estensioni religiose, strumenti legati all’orientamento religioso e politico e applicazioni per disabilità o neurodivergenza come ADHD o supporto all’autismo. Secondo il GDPR questi casi rientrano tra i dati sensibili che richiedono uno specifico consenso esplicito.
La raccolta non si ferma però ai server di LinkedIn. Un altro elemento invisibile viene collegato a HUMAN Security che imposta cookie senza interazione. Un altro script proviene da Google e tutto avviene in forma cifrata.
Di conseguenza viene creata una fitta rete di tracciamento che supera la singola piattaforma. I dati possono contribuire a costruire profili dettagliati di utenti e aziende, che includono software utilizzati internamente.
BrowserGate sostiene che LinkedIn stia utilizzando queste informazioni anche per identificare gli utenti di strumenti concorrenti come Apollo, Lusha e ZoomInfo. Alcuni di questi utenti avrebbero già ricevuto delle minacce legali basate su questi dati.
Le autorità europee sono state informate e le indagini sono in corso mentre milioni di utenti continuano a essere sottoposti a questa scansione automatica ogni singolo giorno. Per ridurre il rischio esistono delle soluzioni immediate come ad esempio utilizzare Firefox o Safari che interrompe il meccanismo.
Anche un profilo Chrome senza estensioni limita la raccolta di questi dati. Brave con protezione attiva, ad esempio, blocca il fingerprinting.
