Shopping cart

Subtotal $0.00

View cartCheckout

Building better devs

TnewsTnews
  • Home
  • Notícias
  • LinkedIn Escaneia 6.000 Extensões do Seu Chrome Sem Permissão
Notícias

LinkedIn Escaneia 6.000 Extensões do Seu Chrome Sem Permissão

BY - Lucas Dalcolmo abril 2, 2026 Comments (0) 12 Mins Read
Email : 55

Você abre o LinkedIn e ele escaneia seu navegador inteiro

Enquanto você rola o feed procurando vagas ou lendo aquele post motivacional do seu ex-chefe, o LinkedIn está rodando um código JavaScript que vasculha silenciosamente cada extensão instalada no seu Chrome. Sem aviso. Sem consentimento. Sem sequer mencionar isso na política de privacidade.

O caso, batizado de BrowserGate, explodiu no Hacker News com mais de 1.300 votos e expõe o que pesquisadores estão chamando de um dos maiores escândalos de espionagem corporativa da web. A investigação, conduzida pela associação alemã Fairlinked e.V., revela que o LinkedIn escaneia mais de 6.167 extensões do Chrome a cada visita — e o número cresce cerca de 12 extensões por dia.

Eu já desconfiava que big techs faziam coisas estranhas nos bastidores — a gente já viu spyware em apps governamentais e trojans escondidos em pacotes NPM populares. Mas isso aqui é outro nível.

Como funciona o escaneamento (tecnicamente)

O mecanismo está escondido dentro de um bundle Webpack de aproximadamente 2,7 MB (chunk.905, módulo 75023) que carrega automaticamente quando você acessa o LinkedIn em qualquer navegador baseado em Chromium — Chrome, Edge, Brave, Opera, Vivaldi.

O sistema usa três métodos integrados de detecção:

Detecção ativa de extensões (AED)

O LinkedIn mantém um array hardcoded com 6.167 IDs de extensões do Chrome, cada um pareado com o caminho de um arquivo interno conhecido. O scanner usa duas abordagens:

Método de lote paralelo: dispara todas as 6.222 requisições fetch() simultaneamente via Promise.allSettled() contra URLs no formato:


chrome-extension://{extension-id}/{file-path}

Quando uma extensão está instalada e expõe um recurso, a requisição retorna com sucesso. Quando não está, falha silenciosamente. Simples assim.

Método sequencial escalonado: sonda extensões individualmente com delays configuráveis entre requisições (parâmetro: staggerDetectionMs), espalhando a atividade de rede ao longo do tempo para — adivinhe — evitar detecção.

Varredura passiva do DOM (Spectroscopy)

Uma função recursiva percorre toda a árvore DOM examinando nós de texto e atributos de elementos procurando referências a URLs chrome-extension://. Quando encontra, extrai os IDs das extensões e reporta de volta.

Fingerprinting completo do navegador

Além das extensões, o motor de fingerprinting APFC coleta 48 características do seu navegador:

Categoria O que coleta
Rede Vazamento de IP via WebRTC, enumeração de dispositivos (câmeras/microfones)
Renderização Canvas fingerprint, WebGL fingerprint
Hardware Especificações de CPU, memória, status da bateria
Tela Resolução, profundidade de cor, propriedades de display
Software User agent, timezone, fontes instaladas
Armazenamento Capacidades de storage local, cookies
Conectividade Tipo de conexão de rede

O detalhe mais irônico? O LinkedIn coleta sua preferência de “Do Not Track” — e depois exclui essa informação do hash de fingerprint, continuando a rastrear você normalmente. É quase uma piada de mau gosto.

O que eles fazem com esses dados

Aqui é onde a coisa fica realmente sinistra. O LinkedIn não está só querendo saber se você usa AdBlock.

Espionagem religiosa e política

O scanner procura por extensões que revelam:

  • Religião: extensões como PordaAI e Deen Shield, usadas por muçulmanos praticantes
  • Orientação política: extensões como “Anti-woke” e “Vote With Your Money”
  • Condições de saúde: ferramentas para usuários neurodivergentes, como o Simplify
  • Status de emprego: 509 ferramentas de busca de emprego são escaneadas

Na União Europeia, esse tipo de dado é classificado como “dado de categoria especial” sob o GDPR. Coletá-lo sem consentimento explícito é ilegal. Ponto.

Inteligência competitiva em escala industrial

O LinkedIn escaneia mais de 200 produtos concorrentes — Apollo, Lusha, ZoomInfo, entre outros. Como o LinkedIn sabe quem é seu empregador (está no seu perfil), eles conseguem cruzar: “fulano trabalha na empresa X e usa a ferramenta Y do nosso concorrente”.

Traduzindo: o LinkedIn está extraindo a lista de clientes de centenas de empresas de software diretamente dos navegadores dos usuários. Isso não é análise de mercado. Isso é espionagem comercial.

Pipeline de transmissão de dados

Tudo é criptografado com chave pública RSA (apfcDfPK) antes de ser enviado para:


https://www.linkedin.com/li/track
/platform-telemetry/li/apfcDf
/apfc/collect

O fingerprint criptografado também é injetado como header HTTP em requisições subsequentes durante a sessão. Ou seja, cada ação sua no LinkedIn carrega consigo sua impressão digital completa.

Terceiros que recebem seus dados

O LinkedIn não guarda tudo pra si. Os dados fluem para pelo menos três terceiros:

HUMAN Security (ex-PerimeterX): um iframe invisível de 0×0 pixels é carregado de li.protechts.net, recebendo timestamps, identificadores de sessão e IDs de aplicação.

Merchant Pool: um script de fingerprinting carrega de merchantpool1.linkedin.com com cookies de sessão e um ID de instância hardcoded.

Google reCAPTCHA v3 Enterprise: coleta de tokens enterprise acontece no carregamento da página — sem aquela caixinha de “não sou um robô”.

Por que você não percebe nada

O sistema foi projetado para ser invisível. Algumas técnicas de evasão:

  • requestIdleCallback: a execução é adiada para quando o navegador está ocioso, sem impactar a performance perceptível
  • Tratamento silencioso de erros: blocos catch vazios, zero logging no console
  • Criptografia RSA: mesmo que você abra o DevTools, os payloads são ilegíveis
  • Feature flags: o escaneamento é controlado por segmento de usuários, permitindo A/B testing e rollout gradual

Isso explica por que esse comportamento passou despercebido por anos. O LinkedIn começou com apenas 38 extensões em 2017. Hoje são 6.167 — e crescendo.

O crescimento exponencial da lista

Para ter noção da escala: entre dezembro de 2025 e fevereiro de 2026, o LinkedIn adicionou 708 extensões à lista de escaneamento. São aproximadamente 12 novas extensões por dia.


2017: ~38 extensões
2024: ~461 extensões
Dez/2025: ~5.459 extensões
Fev/2026: 6.167 extensões

Esse crescimento acelerado nos últimos meses sugere que o LinkedIn está intensificando a operação — possivelmente antes que reguladores europeus consigam agir.

O que diz a lei (spoiler: é crime)

A investigação da Fairlinked detalha violações em múltiplas jurisdições:

União Europeia (GDPR)

Artigo violado O que diz Penalidade máxima
Artigo 9 Proíbe processamento de dados sensíveis (religião, política, saúde) sem consentimento €20 milhões ou 4% do faturamento global
Artigo 6 Exige base legal para qualquer processamento de dados €20 milhões ou 4% do faturamento global
Artigos 13/14 Exige transparência e divulgação sobre coleta de dados €20 milhões ou 4% do faturamento global

Para a Microsoft (dona do LinkedIn), 4% do faturamento global seria algo em torno de $11,27 bilhões. Não é troco.

Alemanha (onde a investigação foi iniciada)

A legislação criminal alemã é ainda mais dura:

  • § 202a StGB — Acesso não autorizado a dados: até 3 anos de prisão
  • § 202b StGB — Interceptação de dados: até 2 anos de prisão
  • § 202c StGB — Preparação para espionagem: até 2 anos de prisão
  • § 23 GeschGehG — Roubo de segredo comercial: as listas de clientes dos concorrentes constituem segredos comerciais protegidos

Reino Unido

  • UK GDPR Artigo 9: multa de até £17,5 milhões ou 4% do faturamento
  • Computer Misuse Act 1990: até 2 anos de prisão por acesso não autorizado a computador

Estados Unidos (Califórnia)

  • CCPA/CPRA: $2.500 a $7.500 por violação para coleta não divulgada
  • CIPA (California Invasion of Privacy Act): $5.000 por violação, sem necessidade de provar dano

A ePrivacy Directive e o TTDSG alemão

Além do GDPR, existe uma camada legal que muita gente esquece: a Diretiva ePrivacy (2002/58/EC). Ela exige consentimento antes de acessar qualquer informação armazenada no dispositivo terminal do usuário. E a implementação alemã dessa diretiva, o TTDSG § 25, estabelece multas de até €300.000 por violação individual.

Agora pense na escala: cada usuário que acessa o LinkedIn e tem suas extensões escaneadas constitui uma violação separada. Com milhões de usuários na Alemanha, as multas potenciais sob o TTDSG sozinho são astronômicas.

O mais interessante é que o TTDSG é mais direto que o GDPR para esse tipo de caso. Enquanto o GDPR exige demonstrar que dados pessoais foram processados (o que pode envolver debates sobre anonimização), o TTDSG simplesmente proíbe acessar informação no dispositivo sem consentimento. Não importa se o dado é pessoal ou não — o ato de acessar já é a violação.

O papel do DMA (Digital Markets Act)

A investigação da Fairlinked também aponta violações do Digital Markets Act, a legislação antitruste digital da UE que entrou em vigor recentemente. O DMA impõe obrigações específicas a “gatekeepers” — plataformas dominantes que controlam o acesso ao mercado.

O LinkedIn, como principal rede profissional do mundo (e propriedade da Microsoft, uma das empresas designadas como gatekeeper), estaria sujeito a obrigações de:

  • Interoperabilidade e acesso justo: o DMA proíbe gatekeepers de usar dados coletados em um serviço para obter vantagem competitiva em outro. Ao escanear extensões de concorrentes e mapear seus clientes, o LinkedIn estaria fazendo exatamente isso.
  • Tratamento igualitário: privilegiar seus próprios produtos (LinkedIn Sales Navigator) usando inteligência obtida ilegalmente dos concorrentes viola o princípio de tratamento justo.

As penalidades sob o DMA podem chegar a 10% do faturamento global — e em caso de reincidência, 20%. Para a Microsoft, estamos falando de dezenas de bilhões de dólares.

O que a Microsoft/LinkedIn dizem sobre isso

Até o momento da publicação deste artigo: nada. Nem a Microsoft nem o LinkedIn responderam publicamente às alegações do BrowserGate. O silêncio é ensurdecedor, especialmente considerando que a investigação já foi coberta por Yahoo Tech, Gadget Review e dezenas de veículos menores.

A ausência de resposta é estratégica, claro. Qualquer declaração pública poderia ser usada em processos legais. Mas para os 900 milhões de usuários da plataforma, esse silêncio transmite uma mensagem clara: o LinkedIn não acha que deve explicações.

O precedente do Cambridge Analytica — e por que isso é pior

Em 2018, o escândalo do Cambridge Analytica mostrou como dados do Facebook foram usados para manipulação política. A Meta pagou $5 bilhões em multa à FTC e o caso se tornou sinônimo de violação de privacidade digital.

Mas existe uma diferença fundamental: no caso do Facebook, os dados foram coletados por um terceiro (a Kogan/Cambridge Analytica) que violou os termos de uso da plataforma. A Meta argumentou — com alguma razão — que foi vítima de mau uso por parte de um desenvolvedor externo.

No BrowserGate, é o próprio LinkedIn executando o código de espionagem. Não tem intermediário, não tem desenvolvedor terceiro violando termos de uso. É a plataforma, de forma deliberada e sistemática, escaneando os dispositivos dos usuários sem qualquer divulgação.

Outro agravante: o Cambridge Analytica envolveu dados que os usuários voluntariamente colocaram no Facebook (curtidas, perfis, conexões). O BrowserGate envolve dados que não têm nenhuma relação com o LinkedIn — extensões religiosas, ferramentas de saúde mental, software de concorrentes. São informações que o usuário nunca compartilhou e nunca esperaria que fossem acessadas por uma rede social profissional.

E o crescimento da lista de extensões — de 38 em 2017 para mais de 6.000 em 2026 — mostra que isso não foi um experimento isolado. Foi uma operação planejada e escalada sistematicamente ao longo de quase uma década.

Como se proteger agora

Enquanto esperamos uma resposta oficial (e possivelmente ação regulatória), você pode tomar algumas medidas:

1. Use o Firefox para acessar o LinkedIn. O método de detecção via chrome-extension:// simplesmente não funciona no Firefox, que usa moz-extension:// com IDs gerados aleatoriamente por instalação. O LinkedIn não consegue mapear extensões no Firefox.

2. Use um perfil separado no Chrome. Crie um perfil do Chrome dedicado ao LinkedIn, sem nenhuma extensão instalada. Assim o escaneamento retorna vazio.

3. Desative extensões antes de acessar. Se usar Chrome como navegador principal, desabilite as extensões antes de entrar no LinkedIn. É inconveniente, mas funciona.

4. Use bloqueadores de conteúdo. Extensões como uBlock Origin podem bloquear os domínios de terceiros (li.protechts.net, merchantpool1.linkedin.com), reduzindo a superfície de rastreamento.

5. Considere o LinkedIn via app mobile ou versão web mínima. O escaneamento de extensões é específico para navegadores desktop baseados em Chromium.

Isso vai mudar alguma coisa?

Eu gostaria de ser otimista, mas o histórico não ajuda. O Facebook sobreviveu ao Cambridge Analytica. O Google já pagou bilhões em multas e continua fazendo mais ou menos a mesma coisa. A real é que empresas desse tamanho tratam multas como custo operacional.

Mas o BrowserGate tem um diferencial: ele toca no código criminal, não só no administrativo. A legislação alemã prevê prisão, não apenas multa. Se procuradores decidirem levar o caso adiante sob os artigos 202a-c do código penal, a conversa muda completamente. Executivos podem ser pessoalmente responsabilizados.

Além disso, a questão de segredos comerciais adiciona outra camada. Se o LinkedIn está efetivamente roubando listas de clientes de concorrentes via escaneamento de extensões, as empresas afetadas (Apollo, Lusha, ZoomInfo e centenas de outras) têm base para processos civis massivos.

A Fairlinked já sinaliza que procedimentos legais sob o DMA (Digital Markets Act) estão em andamento. Se a UE classificar isso como violação do DMA, as consequências podem incluir mudanças estruturais forçadas na plataforma.

Enquanto isso, os 900 milhões de usuários do LinkedIn continuam tendo seus navegadores vasculhados a cada login. Se até o GitHub já está usando seu código para treinar IA, talvez seja hora de repensar o quanto confiamos nas plataformas que usamos para “networking profissional” — e começar a questionar o que mais acontece quando clicamos em “aceitar cookies” sem ler as letras miúdas.

Aliás, nesse caso nem letras miúdas existiam. O LinkedIn simplesmente não contou pra ninguém.

Fonte de inspiração: BrowserGate — LinkedIn Is Illegally Searching Your Computer (Fairlinked e.V.)

Related Tags:
#microsoftBrowser ExtensionsBrowserGateChromeEspionagemGDPRLinkedInprivacidadesegurança digital
img

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Posts

Notícias

Firefox Tinha Um Identificador Secreto que

BY - Lucas Dalcolmo abril 23, 2026
Notícias

Baixou CPU-Z Ontem? O Site Oficial

BY - Lucas Dalcolmo abril 10, 2026
Tela de computador com Linux - migração da França para open sourceNotícias

França Abandona o Windows: 2,5 Milhões

BY - Lucas Dalcolmo abril 10, 2026
.NET

17 Frameworks, Nenhuma Resposta: O Caos

BY - Lucas Dalcolmo abril 6, 2026
Notícias

App Oficial da Casa Branca Tem

BY - Lucas Dalcolmo março 30, 2026
GitHub Copilot injetando anúncios em pull requests - código em tela de computadorNotícias

Copilot Colocou um Anúncio no Meu

BY - Lucas Dalcolmo março 30, 2026