LinkedIn geriet in den Fokus von Datenschützern und Aktivisten, nachdem die Gruppe BrowserGate auf ihrer Website browsergate.eu massive Vorwürfe erhob. Demnach nutzt LinkedIn JavaScript-Code, um beim Öffnen in Chrome-basierten Browsern etwa 6.000 Browser-Erweiterungen zu scannen. Diese Erweiterungen könnten Rückschlüsse auf politische Überzeugungen, religiöse Überzeugungen, Behinderungen, sexuelle Orientierung und sogar Geschäftsgeheimnisse ermöglichen. Das Szenario wirkt tatsächlich beängstigend – und wurde unter dem Hashtag #BrowserGate viral diskutiert.
LinkedIn wies die Vorwürfe zurück. Das Unternehmen erklärte auf Hacker News, dass die Datensammlung dem Schutz vor Verletzungen der Nutzungsbedingungen diene und helfe, technische Abwehrmechanismen zu verbessern sowie Missbrauch zu erkennen.
Tyler Reguly, Associate Director of Security R&D bei Fortra, nahm sich der Sache an und testete Linkedins Verfahren selbst. Sein Fazit fällt deutlich weniger dramatisch aus: LinkedIn nutze lediglich eine einfache JavaScript-Technik namens “Resource Probing”, um zu prüfen, welche Erweiterungen installiert sind – nicht mehr. “Es gibt keinen Scan des Computers und keinen bösartigen Code,” so Reguly. Bei seiner Stichprobe stellte er fest, dass viele der gescannten Erweiterungen tatsächlich problematisch sind: Sie praktizieren Daten-Scraping, ändern die Startseite oder verhalten sich anderweitig verdächtig.
Reguly vermutet deshalb, dass LinkedIn diese Erweiterungen blockieren möchte, um seine Nutzer vor ihnen zu schützen – nicht um diese auszuspionieren. “Ich sehe nichts, das auf böse Absicht hindeutet,” sagte Reguly SecurityWeek. Statistisch könne LinkedIn ohnehin nur etwa 2.000 der 6.000 Erweiterungen überhaupt detektieren – für echtes Fingerprinting gebe es bessere Methoden.
Allerdings gibt es berechtigte Kritik: LinkedIn informiert seine Nutzer nicht transparent über dieses Verfahren. Laut Cybersecurity-Anwalt Ilia Kolochenko könnte die fehlende Nutzer-Zustimmung in Europa unter die GDPR fallen und damit illegal sein – besonders wenn Daten ohne Einwilligung für kommerzielle Zwecke gesammelt werden.
Reguly sieht hier den Hauptproblempunkt: “Linkedins einziger Fehler besteht darin, dass es Nutzer nicht informiert, wenn sie potenziell problematische Erweiterungen haben.” Für IT-Administratoren könnte die Liste der gefährlichen Erweiterungen durchaus wertvoll sein.
Das BrowserGate-Szenario zeigt letztlich ein Spannungsfeld: Wo verläuft die Grenze zwischen legitimer Sicherheitsforschung und unrechtmäßiger Datensammlung? Die Antwort liegt möglicherweise weniger in der technischen Implementierung als in der fehlenden Transparenz – ein Problem, das LinkedIn schnell beheben sollte.