Laut der BrowserGate-Enthüllung soll LinkedIn EU-Regulierer getäuscht haben. 2023 habe die EU LinkedIn unter dem Digital Markets Act als regulierten „Gatekeeper" eingestuft und das Unternehmen verpflichtet, seine Plattform für Drittanbieter-Werkzeuge zu öffnen. Stattdessen habe LinkedIn die Überwachung genau jener Werkzeuge ausgeweitet, die die Regulierung schützen sollte – von etwa 461 Produkten im Jahr 2024 auf über 6.000 bis Februar 2026.

LinkedIn widerspricht der Deutung. In einem Beitrag auf Hacker News erklärte das Unternehmen unter dem Namen LinkedInHelp, man nutze die Daten, um Erweiterungen zu erkennen, die gegen die Nutzungsbedingungen verstoßen, um die eigenen technischen Abwehrmaßnahmen zu verbessern und um zu verstehen, warum ein Konto übermäßig viele Daten anderer Mitglieder abrufe – was sich in großem Maßstab auf die Stabilität der Seite auswirke. Sensible Informationen über Mitglieder leite man aus den Daten nicht ab.

Tyler Reguly von Fortra beschreibt das Vorgehen als „Resource Probing": eine einfache JavaScript-Technik, mit der LinkedIn prüft, welche der über 6.000 Erweiterungen installiert sind. „Ja, LinkedIn hat nach vielen Erweiterungen gesucht, aber es gab kein Durchsuchen des Computers und keinen Schadcode", so Reguly.

Für seinen Test untersuchte er eine Stichprobe von etwa zehn Prozent der mehr als 6.000 Erweiterungen. Eine ließ sich nicht schließen und öffnete sich jedes Mal erneut, andere veränderten die Startseite, die about:blank-Seite oder fügten Lesezeichen hinzu; eine weitere spielte bei jedem Browserstart das „Never Gonna Give You Up"-Video ab. Viele dieser Erweiterungen gehörten zum Schlimmsten, was es gebe.

Statistisch hochgerechnet hält Reguly nur rund 2.000 der Erweiterungen für tatsächlich erkennbar – und selbst 6.000 seien nur ein kleiner Teil aller existierenden Erweiterungen. Wollte LinkedIn seine Nutzer per Fingerprinting profilieren, gäbe es bessere Methoden. „Ich sehe nichts, was auf böswillige Absicht hindeutet", sagte er SecurityWeek; die Sichtweise von BrowserGate sei stark sensationsheischend.

Auffällig sei, dass viele der betroffenen Erweiterungen über Funktionen zum Datenabgriff verfügten und wenig bekannt seien. Er vermute, dass LinkedIn deren Anwesenheit prüfe, um sich gegen sie zu wehren – ein Kontakt mit installierten Scrapern, der sein Profil besuche, sei für seine Privatsphäre bedenklicher als die Prüfung durch LinkedIn selbst.

Kritik bleibt dennoch: LinkedIn habe das Verfahren seinen Nutzern nicht transparent gemacht. Der auf Cybersicherheit und Datenschutz spezialisierte Jurist Ilia Kolochenko verwies gegenüber SecurityWeek auf die Rechtslage. Die Zulässigkeit solchen Fingerprintings hänge von Sachverhalt und Rechtsraum ab; ohne Hinweis und zu kommerziellem Zweck könne es in manchen Ländern sogar einen Straftatbestand erfüllen. Fehle eine freiwillige und informierte Einwilligung, handle es sich sehr wahrscheinlich um personenbezogene Daten im Sinne der DSGVO, deren Erhebung einen schweren Verstoß gegen geltendes Datenschutzrecht darstellen könne.

Reguly sieht als einzigen echten Nachteil, dass LinkedIn die Nutzer nicht über die problematischen Erweiterungen informiert habe. Administratoren und Sicherheitsverantwortliche sollten die Enthüllung sogar begrüßen, da sie nun eine Liste von Erweiterungs-IDs hätten, die sie in ihren Organisationen blockieren könnten. Die zugespitzten Vorwürfe von BrowserGate hält er für eine große Nullnummer.