LinkedIn Escaneia Mais de 6.000 Extensões do Chrome e Coleta Dados de Usuários
Pesquisadores descobriram que o LinkedIn está usando scripts JavaScript ocultos para escanear navegadores de visitantes, verificando a presença de milhares de extensões e coletando dados sobre seus dispositivos. A plataforma justifica a prática como medida de segurança, mas levanta preocupações sobre privacidade e coleta de dados.
MundiX News·14 de abril de 2026·5 min de leitura·👁 2 views
Pesquisadores descobriram que o LinkedIn está utilizando scripts JavaScript ocultos para escanear os navegadores de seus visitantes. A plataforma verifica a presença de milhares de extensões e coleta dados sobre os dispositivos dos usuários.
De acordo com um relatório da Fairlinked e.V., uma associação de usuários comerciais do LinkedIn, a plataforma, pertencente à Microsoft, injeta JavaScript nas sessões dos usuários, verificando a presença de milhares de extensões de navegador e vinculando os resultados a usuários específicos. Os autores do relatório afirmam que o LinkedIn coleta informações confidenciais sobre indivíduos e empresas, já que as contas na plataforma estão vinculadas a nomes reais, empregadores e cargos. Além disso, o relatório indica que o LinkedIn escaneia mais de 200 produtos de concorrentes diretos (como Apollo, Lusha e ZoomInfo) e, ao possuir informações sobre o empregador de cada usuário, consegue criar listas de clientes de empresas concorrentes.
O site Bleeping Computer confirmou parcialmente as descobertas dos pesquisadores, realizando seus próprios testes. Eles descobriram um arquivo JavaScript com um nome aleatório que era carregado pelo site do LinkedIn. O script verificava 6.236 extensões de navegador, tentando acessar recursos de arquivos por meio de IDs específicos (uma técnica conhecida para detectar extensões instaladas). Este script de fingerprinting já havia sido relatado em 2025, mas na época verificava apenas cerca de 2.000 extensões. Um repositório no GitHub, criado dois meses atrás, já continha cerca de 3.000 registros de extensões, indicando que a lista continua a crescer.
Entre as extensões escaneadas, foram encontradas não apenas ferramentas relacionadas ao LinkedIn, mas também extensões de idiomas, gramática e utilitários para profissionais de impostos. Além disso, o script coleta informações sobre o dispositivo do visitante: número de núcleos da CPU, quantidade de memória disponível, resolução da tela, fuso horário, configurações de idioma, status da bateria, dados de áudio e parâmetros de armazenamento. Representantes do LinkedIn não negam o escaneamento de extensões, mas afirmam que o fazem para proteger a plataforma e os usuários. A empresa alega que o relatório BrowserGate foi preparado por uma pessoa cuja conta foi bloqueada por scraping de conteúdo. Segundo a empresa, o autor do relatório – desenvolvedor da extensão Teamfluence – processou o LinkedIn na Alemanha após o bloqueio da conta, tentando contestar as ações da plataforma. No entanto, o tribunal decidiu a favor do LinkedIn e concluiu que as práticas do desenvolvedor em relação aos dados violavam a lei.
Independentemente das justificativas, o fato é que o site do LinkedIn utiliza um script de fingerprinting que detecta mais de 6.000 extensões em navegadores Chromium e coleta dados adicionais sobre os sistemas dos visitantes. Técnicas semelhantes não são inéditas. Em 2020, o eBay foi flagrado escaneando automaticamente as portas nos dispositivos dos visitantes para detectar software de acesso remoto. Posteriormente, scripts semelhantes foram encontrados nos sites do Citibank, TD Bank, Equifax e várias outras empresas.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores descobriram que o LinkedIn está utilizando scripts JavaScript ocultos para escanear os navegadores de seus visitantes. A plataforma verifica a presença de milhares de extensões e coleta dados sobre os dispositivos dos usuários.
De acordo com um relatório da Fairlinked e.V., uma associação de usuários comerciais do LinkedIn, a plataforma, pertencente à Microsoft, injeta JavaScript nas sessões dos usuários, verificando a presença de milhares de extensões de navegador e vinculando os resultados a usuários específicos. Os autores do relatório afirmam que o LinkedIn coleta informações confidenciais sobre indivíduos e empresas, já que as contas na plataforma estão vinculadas a nomes reais, empregadores e cargos. Além disso, o relatório indica que o LinkedIn escaneia mais de 200 produtos de concorrentes diretos (como Apollo, Lusha e ZoomInfo) e, ao possuir informações sobre o empregador de cada usuário, consegue criar listas de clientes de empresas concorrentes.
O site Bleeping Computer confirmou parcialmente as descobertas dos pesquisadores, realizando seus próprios testes. Eles descobriram um arquivo JavaScript com um nome aleatório que era carregado pelo site do LinkedIn. O script verificava 6.236 extensões de navegador, tentando acessar recursos de arquivos por meio de IDs específicos (uma técnica conhecida para detectar extensões instaladas). Este script de fingerprinting já havia sido relatado em 2025, mas na época verificava apenas cerca de 2.000 extensões. Um repositório no GitHub, criado dois meses atrás, já continha cerca de 3.000 registros de extensões, indicando que a lista continua a crescer.
Entre as extensões escaneadas, foram encontradas não apenas ferramentas relacionadas ao LinkedIn, mas também extensões de idiomas, gramática e utilitários para profissionais de impostos. Além disso, o script coleta informações sobre o dispositivo do visitante: número de núcleos da CPU, quantidade de memória disponível, resolução da tela, fuso horário, configurações de idioma, status da bateria, dados de áudio e parâmetros de armazenamento. Representantes do LinkedIn não negam o escaneamento de extensões, mas afirmam que o fazem para proteger a plataforma e os usuários. A empresa alega que o relatório BrowserGate foi preparado por uma pessoa cuja conta foi bloqueada por scraping de conteúdo. Segundo a empresa, o autor do relatório – desenvolvedor da extensão Teamfluence – processou o LinkedIn na Alemanha após o bloqueio da conta, tentando contestar as ações da plataforma. No entanto, o tribunal decidiu a favor do LinkedIn e concluiu que as práticas do desenvolvedor em relação aos dados violavam a lei.
Independentemente das justificativas, o fato é que o site do LinkedIn utiliza um script de fingerprinting que detecta mais de 6.000 extensões em navegadores Chromium e coleta dados adicionais sobre os sistemas dos visitantes. Técnicas semelhantes não são inéditas. Em 2020, o eBay foi flagrado escaneando automaticamente as portas nos dispositivos dos visitantes para detectar software de acesso remoto. Posteriormente, scripts semelhantes foram encontrados nos sites do Citibank, TD Bank, Equifax e várias outras empresas.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
