"Browser-Gate"-Bericht wirft Linkedin heimliche Erfassung von Nutzerdaten vor

Das berufliche Netzwerk Linkedin soll einem Bericht von Fairlinked zufolge, Tausende von Browser-Plugins von Nutzern gescannt und Fingerabdrücke von Geräten ohne deren Wissen gesammelt haben.

Die berufliche Netzwerkplattform Linkedin hat laut einem neuen Sicherheitsbericht stillschweigend detaillierte Informationen über die Geräte der Nutzer und installierte Browser-Erweiterungen gesammelt. Den Ergebnissen von Fairlinked zufolge, habe Linkedin ein verstecktes Skript in seine Webseiten einfügt, das die Browser der Besucher nach Tausenden von Chrome-Erweiterungen durchsucht und gleichzeitig gerätespezifische Daten sammelt. Fairlinked, eine deutsche Gruppe von Linkedin-Nutzern, hat die Vorwürfe in einem Bericht mit dem Titel "Browser-Gate" erhoben.

Dem Bericht zufolge sucht das Skript nach bis zu 6.236 Chrome-Erweiterungen, indem es versucht, auf Ressourcen zuzugreifen, die mit jeder Erweiterung verknüpft sind – eine anerkannte Methode zur Erkennung installierter Add-ons in Chromium-basierten Browsern.

Fairlinked behauptet, dass viele der untersuchten Erweiterungen zu Tools gehören, die in direktem Wettbewerb zu den eigenen Diensten von LinkedIn stehen, insbesondere im Vertriebs- und Rekrutierungsbereich. Dazu gehören Berichten zufolge weit verbreitete Sales-Intelligence-Plattformen wie Apollo, Lusha und ZoomInfo.

Der Bericht behauptet ferner, dies ermögliche es LinkedIn, durch die Verknüpfung von Erweiterungsdaten mit den Beschäftigungsinformationen der Nutzer auf der Plattform zu ermitteln, welche Unternehmen Konkurrenzprodukte verwenden. "Es extrahiert die Kundenlisten von Tausenden von Softwareunternehmen aus den Browsern ihrer Nutzer, ohne dass jemand davon weiß", heißt es in dem Bericht.

Bedenken hinsichtlich des Device-Fingerprinting

Über die Erweiterungen hinaus sammeln die Skripte laut den Forschern eine Reihe von Hardware- und Software-Details, darunter die Anzahl der CPU-Kerne, Arbeitsspeicher, Bildschirmauflösung, Spracheinstellungen, Zeitzone und Akkustatus der Zugangsgeräte. Solche Daten werden üblicherweise beim Browser-Fingerprinting verwendet – einer Technik, mit der Nutzer auch ohne Cookies eindeutig identifiziert werden können.

Da LinkedIn-Profile mit realen Identitäten verknüpft sind, warnen Kritiker, dass dies eine äußerst präzise Nachverfolgung von Personen ermöglichen könnte. Der Bericht behauptet ferner, dass einige dieser Daten möglicherweise an HUMAN Security, ein Cybersicherheitsunternehmen, übermittelt werden, obwohl diese Behauptung nicht unabhängig überprüft wurde.

Reaktion von Linkedin

Linkedin hat Vorwürfe einer missbräuchlichen Datennutzung zurückgewiesen und erklärt, dass seine Systeme darauf ausgelegt seien, Nutzer zu schützen und Plattformregeln durchzusetzen. Ein Sprecher erklärte gegenüber der Technologie-Nachrichtenseite Bleeping Computer: "Um die Privatsphäre unserer Mitglieder und ihre Daten zu schützen sowie die Stabilität der Website zu gewährleisten, suchen wir nach Erweiterungen, die ohne Zustimmung der Mitglieder Daten abgreifen."

Das Unternehmen fügte hinzu, dass es die gesammelten Daten nicht dazu nutze, sensible persönliche Informationen abzugreifen.

Linkedin stellte zudem die Motive hinter dem Bericht in Frage und wies darauf hin, dass dieser von einer Person verfasst wurde, die zuvor wegen angeblicher Datenabluss-Aktivitäten der Zugang zur Plattform gesperrt worden war. Ein deutsches Gericht gab Linkedin kürzlich in einem ähnlichen Fall Recht und entschied, dass das Unternehmen im Rahmen seiner Rechte handelte, wenn es Konten sperrte, die automatisierte Datenerfassung betrieben.

Browser-Abfragen offenbar weit verbreitet

Die Vorwürfe sind nicht ohne Präzedenzfälle. In den letzten Jahren wurde festgestellt, dass mehrere große Unternehmen aggressive Techniken zur Browser-Abfrage einsetzen. Im Jahr 2021 wurde berichtet, dass eBay Skripte verwendet habe, die in der Lage waren, die Geräte der Nutzer nach bestimmter Software zu durchsuchen – was weithin als Teil von Maßnahmen zur Betrugsaufdeckung angesehen wurde. Ähnliche Methoden wurden auch bei Banken und Technologieunternehmen festgestellt.

Gerichte sollen Verstoß von Linkedin gegen Datenschutz prüfen

Fairlinked fordert nun eine behördliche Überprüfung und hat einen Rechtsfonds ins Leben gerufen, um gegen die Muttergesellschaft von Linkedin, Microsoft, vorzugehen. Die Gruppe fordert Nutzer und Aufsichtsbehörden auf, zu prüfen, ob solche Praktiken mit den Datenschutzgesetzen vereinbar sind, insbesondere in Ländern mit strengen Datenschutzbestimmungen wie der DSGVO in der EU.

Der Artikel erschien zuerst bei unserer Schwesterpublikation Computing UK.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden