Laut dem Bericht von Fairlinked e.V. injiziert LinkedIn JavaScript in die Sitzungen seiner Nutzer, das auf das Vorhandensein tausender Browser-Erweiterungen prüft und die Treffer mit identifizierbaren Profilen abgleicht. Der Verfasser argumentiert, dass auf diesem Weg sensible persönliche und betriebliche Daten gesammelt würden, weil LinkedIn-Konten an reale Personen, Arbeitgeber und Funktionen geknüpft sind.
Der Bericht nennt konkrete Beispiele: LinkedIn suche nach mehr als 200 Produkten, die mit den eigenen Vertriebswerkzeugen konkurrieren, darunter Apollo, Lusha und ZoomInfo. Da die Plattform den Arbeitgeber jedes Nutzers kenne, lasse sich zuordnen, welche Unternehmen welche Konkurrenzprodukte einsetzen. Damit, so der Vorwurf, ziehe LinkedIn faktisch die Kundenlisten tausender Softwarefirmen aus den Browsern ihrer Nutzer. Der Bericht behauptet zudem, LinkedIn habe bereits Verwarnungen an Nutzer von Drittanbieter-Tools verschickt und die heimlich gesammelten Daten zur Identifizierung der Adressaten genutzt.
BleepingComputer bestätigte einen Teil der Angaben durch eigene Tests. Dabei wurde eine JavaScript-Datei mit zufälligem Dateinamen beobachtet, die 6.236 Erweiterungen prüfte, indem sie auf Dateiressourcen bestimmter Erweiterungs-IDs zugriff – eine bekannte Technik zum Erkennen installierter Erweiterungen. Bereits 2025 war ein solches Fingerprinting-Skript gemeldet worden, das damals rund 2.000 Erweiterungen erkannte; ein GitHub-Repository von vor zwei Monaten zeigte 3.000 erkannte Erweiterungen. Neben LinkedIn-bezogenen Erweiterungen erfasste das Skript auch Sprach- und Grammatik-Tools sowie Programme für Steuerfachleute. Zusätzlich sammelt es Browser- und Gerätedaten wie Anzahl der CPU-Kerne, verfügbaren Speicher, Bildschirmauflösung, Zeitzone, Spracheinstellungen, Akkustatus sowie Audio- und Speicherinformationen.
Ob die Daten so verwendet oder an Dritte weitergegeben werden, wie der BrowserGate-Bericht behauptet, konnte BleepingComputer nicht überprüfen. Vergleichbare Fingerprinting-Techniken wurden in der Vergangenheit jedoch genutzt, um eindeutige Browserprofile zu erstellen und Nutzer über mehrere Websites hinweg zu verfolgen.
LinkedIn bestreitet die Erkennung bestimmter Erweiterungen nicht, erklärt aber, die Informationen dienten dem Schutz der Plattform und ihrer Nutzer. Man suche nach Erweiterungen, die ohne Zustimmung Daten abgreifen oder gegen die Nutzungsbedingungen verstoßen. Manche Erweiterungen verfügten über statische Ressourcen wie Bilder oder JavaScript, deren Vorhandensein sich über die Ressourcen-URL erkennen lasse; dies sei in der Entwicklerkonsole von Chrome sichtbar. Die Daten dienten dazu, Verstöße zu bestimmen und die technischen Schutzmechanismen zu verbessern – nicht dazu, sensible Informationen über Mitglieder abzuleiten.
LinkedIn führt den Bericht auf einen Streit mit dem Entwickler der LinkedIn-bezogenen Erweiterung „Teamfluence" zurück, dessen Konto wegen Verstößen gegen die Nutzungsbedingungen eingeschränkt worden sei. Nach Unterlagen, die BleepingComputer vorliegen, wies ein deutsches Gericht den Antrag des Entwicklers auf einstweilige Verfügung zurück und stellte fest, dass LinkedIns Vorgehen keine unzulässige Behinderung oder Diskriminierung darstelle. Das Gericht befand zudem, dass bereits automatisierte Datensammlung gegen die Nutzungsbedingungen verstoßen könne und LinkedIn berechtigt sei, Konten zum Schutz der Plattform zu sperren.
Unstrittig bleibt: LinkedIns Website setzt ein Fingerprinting-Skript ein, das über 6.000 Erweiterungen in einem Chromium-Browser erkennt. Es ist nicht das erste Mal, dass Unternehmen solche Methoden nutzen. 2021 wurde bekannt, dass eBay per JavaScript automatisierte Port-Scans auf Besuchergeräten ausführte, um auf Fernwartungssoftware zu prüfen. Dasselbe Skript wurde später bei zahlreichen weiteren Firmen gefunden, darunter Citibank, TD Bank, Ameriprise, Chick-fil-A, Equifax IQ connect, TIAA-CREF, Sky, GumTree und WePay.
