LinkedIn è oggetto di un rapporto denominato “BrowserGate” che documenta l’uso di script JavaScript per il rilevamento di oltre 6.000 estensioni Chrome e la creazione di fingerprinting del dispositivo (CPU, RAM, batteria, fuso orario). Secondo l’analisi di Fairlinked e.V., confermata da BleepingComputer, la piattaforma monitora specificamente circa 200 strumenti di intelligence commerciale concorrenti (come Apollo e ZoomInfo). LinkedIn ha dichiarato che tale scansione è finalizzata esclusivamente al contrasto dello scraping automatizzato e alla protezione della stabilità del sito, negando l’uso dei dati per scopi sensibili. La vicenda si inserisce in un contesto di contenziosi legali tra la piattaforma e sviluppatori di estensioni terze accusate di violare i termini di servizio.
LinkedIn è al centro di una nuova controversia sulla privacy dopo la pubblicazione di un rapporto che documenta come la piattaforma professionale raccolga dati dettagliati sui browser dei visitatori. Secondo l’analisi condotta da Fairlinked e.V., il social network inietta uno script JavaScript in ogni pagina caricata per rilevare la presenza di migliaia di estensioni Chrome e raccogliere informazioni tecniche sui dispositivi utilizzati.
La testata BleepingComputer ha verificato in modo indipendente l’esistenza dello script, confermando che il sistema di monitoraggio è effettivamente attivo e operativo su tutte le pagine del sito.
Il fenomeno è stato definito “BrowserGate” nel rapporto pubblicato dall’organizzazione tedesca, che ha analizzato nel dettaglio le modalità di raccolta dati implementate dalla piattaforma di proprietà Microsoft.
Come funziona il sistema di rilevamento
Lo script individuato tenta di accedere a risorse associate a specifici ID di estensioni per Chrome, utilizzando una tecnica consolidata che permette di verificare quali componenti aggiuntivi sono installati nei browser basati su Chromium. Il database delle estensioni monitorate è cresciuto rapidamente: da circa 2.000 nel 2025 si è passati a 3.000 a febbraio di quest’anno, fino alle attuali 6.236 estensioni sotto controllo.
Parallelamente alla scansione delle estensioni, il sistema raccoglie una serie di dati tecnici sul dispositivo: numero di core della CPU, memoria disponibile, risoluzione dello schermo, fuso orario, impostazioni linguistiche e stato della batteria. Questi elementi costituiscono quello che nel settore viene chiamato fingerprinting del browser, una pratica che consente di creare profili unici per ogni dispositivo.
Quali estensioni vengono monitorate
Tra le estensioni cercate dallo script figurano numerosi strumenti professionali collegati a LinkedIn, in particolare prodotti di intelligence commerciale sviluppati da aziende come Apollo, Lusha e ZoomInfo, che competono direttamente con i servizi offerti dalla piattaforma. Il rapporto Fairlinked indica che vengono monitorate oltre 200 soluzioni concorrenti.
Il sistema non si limita però agli strumenti professionali: tra le categorie analizzate compaiono anche estensioni per la correzione grammaticale, applicazioni per professionisti fiscali e altri tipi di componenti aggiuntivi apparentemente senza collegamenti diretti con le funzionalità del social network.
La combinazione tra i dati raccolti e le informazioni già presenti negli account LinkedIn solleva interrogativi specifici: poiché i profili sulla piattaforma contengono nomi reali, datori di lavoro e ruoli professionali, i dati sulle estensioni e sui dispositivi potrebbero essere associati a persone identificabili con precisione.
La posizione di LinkedIn e il contesto
Un portavoce di LinkedIn ha dichiarato a BleepingComputer che la scansione viene utilizzata per rilevare estensioni che estraggono dati o violano i termini di servizio della piattaforma. L’azienda ha specificato che l’obiettivo è proteggere la privacy degli utenti iscritti e garantire la stabilità del sito, precisando di non utilizzare i dati raccolti per dedurre informazioni sensibili sui membri.
LinkedIn ha inoltre sottolineato che il rapporto Fairlinked è stato pubblicato da una persona il cui account era stato limitato proprio per attività di scraping. La persona in questione è collegata a un’estensione chiamata Teamfluence, che secondo la piattaforma viola i termini di servizio. Un tribunale tedesco ha respinto la richiesta di ingiunzione preliminare presentata contro LinkedIn, riconoscendo alla piattaforma il diritto di bloccare account coinvolti nella raccolta automatizzata di dati.
LinkedIn non è la prima grande piattaforma a utilizzare tecniche aggressive di fingerprinting lato client. Nel 2021 era emerso che eBay utilizzava JavaScript per eseguire scansioni automatiche delle porte sui dispositivi dei visitatori, alla ricerca di software di accesso remoto. Lo stesso script era stato successivamente individuato su siti gestiti da Citibank, TD Bank e Equifax.
Il rapporto Fairlinked sostiene che i dati vengono trasmessi a HUMAN Security, un’azienda di cybersecurity americano-israeliana, anche se questo aspetto non è stato verificato in modo indipendente.
