Tóm lại: Mỗi lần bạn truy cập LinkedIn bằng trình duyệt dựa trên Chrome, một quy trình JavaScript ẩn sẽ âm thầm thăm dò trình duyệt của bạn để tìm hơn 6.000 tiện ích mở rộng đã cài đặt, thu thập 48 đặc điểm phần cứng và phần mềm về thiết bị của bạn, mã hóa dấu vân tay thu được và đính kèm nó vào mọi yêu cầu API bạn thực hiện trong phiên của mình. Hoạt động này được các nhà nghiên cứu gắn nhãn “BrowserGate” và không được tiết lộ trong chính sách quyền riêng tư của LinkedIn. LinkedIn cho biết đây là một biện pháp bảo mật; các nhà phê bình cho rằng đây là sự giám sát bí mật hành vi duyệt web của một tỷ người dùng ở quy mô công nghiệp.
Có một quy trình chạy trên máy tính của bạn mỗi khi bạn mở LinkedIn. Bạn không thể nhìn thấy nó, bạn không được thông báo về nó và nó không được mô tả trong chính sách bảo mật của công ty. Theo một cuộc điều tra được công bố vào đầu tháng 4 năm 2026 bởi Fairlinked eV, một hiệp hội người dùng LinkedIn thương mại ở Châu Âu, nền tảng này đã đưa một gói JavaScript 2,7 megabyte vào trang web của mình để âm thầm quét trình duyệt của khách truy cập để tìm sự hiện diện của hơn 6.000 tiện ích mở rộng Chrome cụ thể, tập hợp dấu vân tay chi tiết của phần cứng của họ, mã hóa và truyền kết quả đến máy chủ của LinkedIn, nơi kết quả được đính kèm với mọi hành động tiếp theo được thực hiện trong phiên.
Cuộc điều tra, độc lập được xác nhận bởi BleepingComputerđã xác minh hành vi quét thông qua thử nghiệm của chính nó, được đặt tên là “BrowserGate”. LinkedIn tranh chấp nhiều đặc điểm của báo cáo. Các sự kiện kỹ thuật không có tranh chấp.
Kịch bản làm gì
LinkedIn gọi hệ thống quét của mình là “Quang phổ”. Khi người dùng tải trang web LinkedIn, tập lệnh sẽ kích hoạt tối đa 6.222 yêu cầu đồng thời, mỗi yêu cầu thăm dò một tiện ích mở rộng trình duyệt cụ thể bằng cách cố gắng truy cập các tệp được liên kết với ID của tiện ích mở rộng đó. Sự hiện diện hay vắng mặt của tệp trong phản hồi cho biết liệu tiện ích mở rộng đã được cài đặt hay chưa. Toàn bộ hoạt động chạy âm thầm trong nền mà không có bất kỳ loại lời nhắc hoặc thông báo hiển thị nào.
💜 của công nghệ EU
Những tin đồn mới nhất từ bối cảnh công nghệ EU, câu chuyện từ người sáng lập thông thái Boris của chúng tôi và một số tác phẩm nghệ thuật AI đáng nghi vấn. Nó miễn phí hàng tuần trong hộp thư đến của bạn. Đăng ký ngay bây giờ!
Ngoài các tiện ích mở rộng, tập lệnh còn thu thập 48 đặc điểm riêng biệt của thiết bị người dùng: số lõi CPU, bộ nhớ khả dụng, độ phân giải màn hình, múi giờ, cài đặt ngôn ngữ, trạng thái pin, thông tin phần cứng âm thanh và dung lượng lưu trữ, cùng nhiều đặc điểm khác. Riêng lẻ, các thuộc tính này là không đáng kể. Kết hợp lại, chúng tạo thành một dấu vân tay của thiết bị đủ cụ thể để nhận dạng người dùng ngay cả sau khi xóa cookie.
Sau khi được biên dịch, dữ liệu sẽ được tuần tự hóa thành JSON và được mã hóa bằng khóa chung RSA, mã định danh nội bộ của LinkedIn cho khóa là “apfcDfPK”, trước khi được truyền đến các điểm cuối đo từ xa bao gồm li/track và /platform-telemetry/li/apfcDf. Sau đó, dấu vân tay sẽ được đưa vĩnh viễn dưới dạng tiêu đề HTTP vào mọi yêu cầu API được thực hiện trong phiên, nghĩa là LinkedIn nhận được dấu vân tay đó với mọi tìm kiếm, mọi lượt xem hồ sơ, mọi tin nhắn được gửi.
Nó đang tìm kiếm cái gì
Câu hỏi về phần mở rộng nào LinkedIn đang quét làm cho việc giám sát trở nên nhạy cảm hơn mức yêu cầu phát hiện gian lận đơn giản. Theo báo cáo của BrowserGate, danh sách của LinkedIn bao gồm hơn 200 sản phẩm cạnh tranh trực tiếp với các công cụ bán hàng của chính họ, trong số đó có Apollo, Lusha và ZoomInfo. Vì LinkedIn biết chủ nhân của từng người dùng đã đăng ký nên việc quét một cách có hệ thống để tìm sự hiện diện của công cụ của đối thủ cạnh tranh mang lại cho nền tảng khả năng hiển thị mà các công ty đang đánh giá hoặc triển khai các sản phẩm của đối thủ cạnh tranh.
Danh sách này cũng bao gồm các công cụ liên quan đến các tình trạng khác nhau về thần kinh, thực hành tôn giáo, lợi ích chính trị và hoạt động tìm việc, những danh mục mà ở Liên minh Châu Âu đủ điều kiện là dữ liệu cá nhân nhạy cảm cần được bảo vệ nâng cao theo Quy định bảo vệ dữ liệu chung. Ví dụ: biết rằng người dùng đang chạy tiện ích mở rộng tìm kiếm việc làm là một suy luận có ý nghĩa về ý định làm việc của họ, được rút ra mà không cần có sự đồng ý.
Quy mô hoạt động đã tăng lên đáng kể theo thời gian. LinkedIn bắt đầu quét 38 tiện ích mở rộng cụ thể vào năm 2017. Đến năm 2024, con số đó đã tăng lên 461. Đến tháng 2 năm 2026, danh sách này đã đạt 6.167, tăng 1.252% trong hai năm. Thử nghiệm của BleepingComputer xác nhận rằng quá trình quét đã hoạt động kể từ đầu tháng 4 năm 2026.
Sự bảo vệ của LinkedIn và nguồn của báo cáo
Phản hồi của LinkedIn đối với BleepingComputer đã được chỉ ra. “Các tuyên bố được đưa ra trên trang web được liên kết ở đây hoàn toàn sai“, một người phát ngôn cho biết.”Người đứng đằng sau họ phải chịu hạn chế tài khoản vì hành vi thu thập dữ liệu và các vi phạm khác đối với Điều khoản dịch vụ của LinkedIn. Để bảo vệ quyền riêng tư của các thành viên, dữ liệu của họ và để đảm bảo tính ổn định của trang web, chúng tôi tìm kiếm các tiện ích mở rộng thu thập dữ liệu mà không có sự đồng ý của thành viên hoặc vi phạm Điều khoản dịch vụ của LinkedIn.” Công ty nói thêm rằng họ không sử dụng dữ liệu để “suy ra thông tin nhạy cảm về các thành viên.”
Đặc tính của nền tảng của nguồn có vấn đề. Fairlinked eV được kết nối với Teamfluence Signal Systems OÜ, một công ty của Estonia có giám đốc điều hành bao gồm Steven Morell và Jan Liebling. Teamfluence tạo ra một tiện ích mở rộng của Chrome, còn được gọi là Teamfluence, bị LinkedIn hạn chế do bị cáo buộc vi phạm điều khoản dịch vụ. Công ty sau đó đã đệ trình lệnh sơ bộ chống lại LinkedIn Ireland Unlimited Company và LinkedIn Germany GmbH tại Tòa án khu vực Munich, cáo buộc vi phạm Đạo luật thị trường kỹ thuật số, luật cạnh tranh của EU và các quy tắc bảo vệ dữ liệu của Đức. Vào tháng 1 năm 2026, tòa án Munich đã bác bỏ lệnh cấm và nhận thấy rằng hành động của LinkedIn không cấu thành hành vi cản trở hoặc phân biệt đối xử trái pháp luật.
Tranh chấp tài chính giữa các bên không làm thay đổi kết quả kỹ thuật đã được xác minh độc lập. Điều đó có nghĩa là việc đóng khung những phát hiện đó đang bị tranh cãi và người đọc nên cân nhắc cả nội dung của tuyên bố và nguồn gốc của nó.
Bối cảnh quy định
Đây không phải là cuộc chạm trán nghiêm trọng đầu tiên của LinkedIn với cơ quan thực thi bảo vệ dữ liệu của Châu Âu. Vào tháng 10 năm 2024, Ủy ban Bảo vệ Dữ liệu Ireland, cơ quan quản lý LinkedIn ở Liên minh Châu Âu thông qua công ty con ở Ireland, đã phạt công ty này 310 triệu euro, tương đương khoảng 334 triệu USD, vì xử lý dữ liệu cá nhân của người dùng cho mục tiêu quảng cáo mà không có cơ sở pháp lý hợp lệ. Quyết định cho thấy cơ chế chấp thuận của LinkedIn không đáp ứng yêu cầu của GDPR rằng sự đồng ý phải “tự do đưa ra.” LinkedIn được lệnh phải tuân thủ quy trình xử lý dữ liệu của mình.
Cuộc điều tra BrowserGate rơi vào bối cảnh đó. Câu hỏi pháp lý về việc liệu việc quét 6.000 tiện ích mở rộng trình duyệt có cấu thành việc xử lý dữ liệu cá nhân thuộc danh mục đặc biệt hay không và liệu việc người dùng thiếu nhận thức về hành vi này có khiến bất kỳ sự đồng ý ngụ ý nào không hợp lệ hay không, chính xác là loại câu hỏi mà Ủy ban Bảo vệ Dữ liệu Ireland đã cho thấy họ sẵn sàng tham gia trước tòa. Khung quy định kỹ thuật số đang phát triển của Châu Âu đang dần tiến tới yêu cầu tiết lộ rõ ràng tất cả việc thu thập dữ liệu quan trọng và hoạt động quét ở quy mô này, được thực hiện mà không có bất kỳ đề cập nào trong chính sách quyền riêng tư, dường như khó phù hợp với hướng đi đó.
LinkedIn là một công ty con của Microsoft, được mua lại vào năm 2016 với giá 26,2 tỷ USD. Microsoft đã tích cực mở rộng khả năng AI của mình vào năm 2026, với bộ dữ liệu khổng lồ về danh tính nghề nghiệp và lịch sử việc làm của LinkedIn tạo thành một phần quan trọng của cơ sở hạ tầng dữ liệu chứa đựng những khả năng đó. Mối quan hệ giữa hoạt động thu thập dữ liệu của LinkedIn và tham vọng AI rộng lớn hơn của Microsoft cũng không được đề cập trong chính sách quyền riêng tư của LinkedIn.
Điều này có ý nghĩa gì đối với người dùng
LinkedIn có hơn một tỷ người dùng đã đăng ký. Phần lớn truy cập vào nền tảng thông qua các trình duyệt dựa trên Chrome, nghĩa là quá trình quét Quang phổ chạy thường xuyên trên các thiết bị của một phần đáng kể lực lượng lao động chuyên nghiệp toàn cầu, thu thập dấu vân tay đủ chính xác để tồn tại trong các lần đặt lại cookie và có thể trên các thiết bị.
Việc sử dụng trình duyệt không phải Chrome như Firefox, điều này sẽ hạn chế nhưng không nhất thiết loại bỏ khả năng lấy dấu vân tay của LinkedIn, không có cài đặt hướng tới người dùng nào ngăn cản quá trình quét. Nền tảng này không đưa ra lựa chọn không tham gia vì nó không tiết lộ thông lệ ngay từ đầu. Sự thúc đẩy vào năm 2026 đối với các hoạt động dữ liệu và AI được quản lý và minh bạch được xây dựng dựa trên tiền đề chính xác rằng việc thu thập dữ liệu vô hình thuộc loại này không nên là mặc định.
Liệu các cơ quan quản lý có hành động đủ nhanh để thay đổi mặc định đó ở quy mô của LinkedIn hay không vẫn còn phải xem. Các công ty bảo mật ngày càng được xây dựng để phát hiện chính xác kiểu thu thập dữ liệu bí mật này đang trở thành một lĩnh vực tăng trưởng theo đúng nghĩa của họ, một dấu hiệu thị trường cho thấy khoảng cách giữa những gì nền tảng thu thập và những gì người dùng hiểu vẫn còn rất lớn. Năm 2025 đã bình thường hóa việc thu thập dữ liệu do AI cung cấp với tốc độ mà quy định vẫn chưa đáp ứng được. BrowserGate là một nghiên cứu điển hình về độ trễ đó trông như thế nào khi nhìn từ bên trong trình duyệt.
Nguồn The Next Web