Laut dem Bericht des Fairlinked e.V. sucht LinkedIn gezielt nach mehr als 200 Produkten, die mit den eigenen Vertriebswerkzeugen konkurrieren, darunter Apollo, Lusha und ZoomInfo. Weil LinkedIn den Arbeitgeber jedes Nutzers kenne, lasse sich daraus ableiten, welche Unternehmen welche Konkurrenzprodukte einsetzen. Der Bericht formuliert es so: Das Unternehmen ziehe „die Kundenlisten Tausender Softwarefirmen aus den Browsern ihrer Nutzer, ohne dass jemand davon weiß". Zudem habe LinkedIn bereits Abmahnungen an Nutzer von Drittanbieter-Werkzeugen verschickt und dabei auf Daten aus diesem verdeckten Scan zurückgegriffen, um seine Ziele zu identifizieren.
Bei eigenen Tests beobachtete BleepingComputer eine JavaScript-Datei mit zufälligem Dateinamen, die 6.236 Erweiterungen abprüfte – jeweils durch den Versuch, auf Dateiressourcen einer bestimmten Erweiterungs-ID zuzugreifen, eine bekannte Methode zum Erkennen installierter Erweiterungen. Dieses Skript war bereits 2025 dokumentiert worden, erkannte damals aber nur rund 2.000 Erweiterungen; ein anderes GitHub-Repository zeigt für einen Zeitpunkt vor zwei Monaten etwa 3.000 erkannte Erweiterungen. Neben LinkedIn-bezogenen Erweiterungen prüft das Skript auch auf Sprach- und Grammatikwerkzeuge sowie Programme für Steuerfachleute. Erfasst werden zudem zahlreiche System- und Gerätedaten: CPU-Kernzahl, verfügbarer Speicher, Bildschirmauflösung, Zeitzone, Spracheinstellungen, Akkustatus, Audioinformationen und Speichermerkmale.
Ob die Daten wie im Bericht behauptet verwendet oder an Dritte weitergegeben werden, konnte BleepingComputer nicht überprüfen. Ähnliche Fingerprinting-Techniken wurden in der Vergangenheit jedoch genutzt, um eindeutige Browserprofile zu erstellen und Nutzer über Websites hinweg zu verfolgen.
LinkedIn erklärte gegenüber BleepingComputer, die Erkennung diene dem Schutz der Plattform und ihrer Mitglieder. Manche Erweiterungen stellten statische Ressourcen wie Bilder oder JavaScript bereit, um sie in LinkedIn-Seiten einzuschleusen; deren Vorhandensein lasse sich über die Existenz der Ressourcen-URL feststellen, sichtbar in der Entwicklerkonsole von Chrome. Man nutze diese Daten, um Verstöße gegen die Nutzungsbedingungen zu erkennen, die eigenen technischen Abwehrmaßnahmen zu verbessern und zu verstehen, warum ein Konto übermäßig viele Daten anderer Mitglieder abrufe. Sensible Informationen über Mitglieder würden daraus nicht abgeleitet.
Den Bericht führt LinkedIn auf einen Streit mit dem Entwickler der LinkedIn-nahen Browser-Erweiterung „Teamfluence" zurück, dessen Konto wegen Verstößen gegen die Nutzungsbedingungen eingeschränkt worden sei. Laut Dokumenten, die BleepingComputer vorliegen, wies ein deutsches Gericht den Antrag des Entwicklers auf eine einstweilige Verfügung zurück: LinkedIns Vorgehen stelle keine unzulässige Behinderung oder Diskriminierung dar, und automatisierte Datenerhebung allein könne bereits gegen die Nutzungsbedingungen verstoßen.
Unstrittig bleibt: LinkedINs Website setzt ein Fingerprinting-Skript ein, das über 6.000 Erweiterungen in einem Chromium-Browser erkennt sowie weitere Daten zum System des Besuchers sammelt. Schon 2021 wurde bekannt, dass eBay per JavaScript automatisierte Portscans auf Geräten von Besuchern durchführte, um nach Fernwartungssoftware zu suchen. Dasselbe Skript fand sich später bei zahlreichen weiteren Unternehmen, darunter Citibank, TD Bank, Ameriprise, Chick-fil-A, Equifax IQ connect, TIAA-CREF, Sky, GumTree und WePay.
