Simplificando: Sempre que você visita o LinkedIn a partir de um navegador baseado no Chrome, uma rotina JavaScript oculta interroga automaticamente as mais de 6.000 extensões instaladas no seu navegador, reúne 48 características de hardware e software sobre o seu dispositivo, criptografa a impressão digital resultante e a anexa a cada solicitação de API que você faz durante a sua sessão. Esta prática, que os pesquisadores apelidaram de “BrowserGate”, não é divulgada na política de privacidade do LinkedIn. O LinkedIn diz que esta é uma medida de segurança. Os críticos dizem que se trata de uma vigilância secreta do comportamento de navegação de bilhões de usuários em escala industrial.
Existe uma rotina que é executada no seu computador sempre que você abre o LinkedIn. Não pode ser visto, não foi informado e não está descrito na política de privacidade da empresa. De acordo com uma pesquisa publicada no início de abril de 2026 pela Fairlinked eV, a associação europeia de usuários comerciais do LinkedIn, a plataforma injeta um pacote de 2,7 MB de JavaScript em sites para verificar automaticamente os navegadores dos visitantes em busca de mais de 6.000 extensões específicas do Chrome, coleta impressões digitais detalhadas de seu hardware, criptografa-as e transmite os resultados aos servidores do LinkedIn. Este pacote é anexado a todas as ações subsequentes executadas durante a sessão.
investigado de forma independente Verificado por BleepingComputeré chamado de “BrowserGate”, que verificou seu comportamento de varredura por meio de autoteste. O LinkedIn contesta muitas das caracterizações do relatório. Os fatos técnicos são indiscutíveis.
O que o roteiro faz
O LinkedIn chama seu sistema de digitalização de “espectroscopia”. Quando um usuário carrega o site do LinkedIn, o script executa até 6.222 solicitações simultâneas, cada solicitação pesquisando uma extensão específica do navegador, tentando acessar o arquivo associado ao ID dessa extensão. A presença de um arquivo na resposta indica se a extensão está instalada. Toda a tarefa é executada automaticamente em segundo plano, sem avisos ou notificações visíveis.
💜 da tecnologia da UE
As últimas novidades do cenário tecnológico da UE, a história do sábio fundador Boris e a questionável arte de IA. Receba-o em sua caixa de entrada gratuitamente todas as semanas. Cadastre-se agora!
Além dos recursos de extensão, o script coleta 48 características exclusivas do dispositivo do usuário, incluindo número de núcleos de CPU, memória disponível, resolução de tela, fuso horário, configurações de idioma, status da bateria, informações de hardware de áudio e capacidade de armazenamento. Individualmente, essas propriedades não são dignas de nota. Combinados, eles formam uma impressão digital do dispositivo que é específica o suficiente para identificar o usuário mesmo após a exclusão dos cookies.
Depois de compilados, os dados são serializados em JSON e criptografados usando a chave pública RSA. O identificador interno do LinkedIn para a chave é “apfcDfPK”, que é então enviado para terminais de telemetria, incluindo li/track e /platform-telemetry/li/apfcDf. A impressão digital é então inserida permanentemente como um cabeçalho HTTP em todas as solicitações de API feitas durante a sessão. Isso significa que o LinkedIn obtém uma impressão digital de cada pesquisa, cada visualização de perfil e cada mensagem enviada.
O que você está procurando?
Perguntar quais extensões o LinkedIn procura torna a vigilância mais sensível do que o necessário para a simples detecção de fraudes. De acordo com um relatório do BrowserGate, as listagens do LinkedIn incluem mais de 200 produtos que competem diretamente com suas próprias ferramentas de vendas, incluindo Apollo, Lusha e ZoomInfo. Como o LinkedIn conhece o empregador de cada usuário registrado, a busca sistemática pelas ferramentas dos concorrentes proporciona visibilidade nas plataformas nas quais as empresas estão avaliando ou implantando produtos concorrentes.
A lista também inclui ferramentas relacionadas a distúrbios da neurodiversidade, práticas religiosas, interesses políticos e procura de emprego, categorias que são classificadas como dados pessoais sensíveis sujeitos a proteção reforçada ao abrigo do Regulamento Geral de Proteção de Dados (GDPR) na União Europeia. Por exemplo, saber que um usuário está executando uma extensão de procura de emprego é uma inferência significativa sobre a intenção de emprego feita sem consentimento.
Com o tempo, a escala da operação cresceu significativamente. O LinkedIn começou a procurar 38 extensões específicas em 2017. Em 2024, esse número subiu para 461. Em fevereiro de 2026, a lista atingiu 6.167, um aumento de 1.252% em dois anos. Os testes do BleepingComputer confirmaram que a digitalização estará ativa a partir do início de abril de 2026.
Fonte de defesa e relatórios no LinkedIn
A resposta do LinkedIn ao BleepingComputer foi apontada. “As afirmações feitas pelo site vinculado aqui são claramente falsas.“, disse o porta-voz.A pessoa por trás disso estará sujeita a restrições de conta por raspagem e outras violações dos Termos de Serviço do LinkedIn. Para proteger a privacidade e os dados dos nossos membros e garantir a estabilidade do site, procuramos extensões que extraiam dados sem o consentimento dos membros ou que violem os Termos de Serviço do LinkedIn..” A empresa acrescentou que não utiliza os dados para nenhuma das seguintes finalidades:Infere informações confidenciais sobre os membros.”
A natureza da fonte da plataforma é importante. A Fairlinked eV está ligada à Teamfluence Signal Systems OÜ, uma empresa estoniana cujos diretores administrativos são Steven Morell e Jan Liebling. Teamfluence cria uma extensão do Chrome (também conhecida como Teamfluence) que o LinkedIn restringiu por supostamente violar seus termos de serviço. Posteriormente, a empresa apresentou uma liminar no Tribunal Distrital de Munique contra a LinkedIn Ireland Unlimited Company e a LinkedIn Germany GmbH, alegando violações da Lei dos Mercados Digitais, da lei de concorrência da UE e das regras alemãs de proteção de dados. Em janeiro de 2026, um tribunal de Munique rejeitou a liminar, decidindo que as ações do LinkedIn não constituíam interferência ilegal ou discriminação.
As disputas financeiras entre as partes não alterarão os resultados técnicos verificados de forma independente. Isto significa que há controvérsia sobre o enquadramento destes resultados, e os leitores devem considerar tanto o conteúdo como a fonte das afirmações.
contexto regulatório
Este não é o primeiro encontro sério do LinkedIn com a aplicação da protecção de dados na Europa. Em outubro de 2024, a Comissão Irlandesa de Proteção de Dados, que regula o LinkedIn na UE através da sua subsidiária irlandesa, multou a empresa em 310 milhões de euros (cerca de 334 milhões de dólares) por processar dados pessoais dos utilizadores para publicidade direcionada sem uma base legal válida. A decisão concluiu que o mecanismo de consentimento do LinkedIn não atendia aos requisitos de consentimento do GDPR.dado gratuitamente.” O LinkedIn foi obrigado a adequar seu processamento de dados.
A pesquisa do BrowserGate se aplica a esse contexto. As questões jurídicas sobre se a verificação de 6.000 extensões de navegador constitui uma categoria especial de processamento de dados pessoais, e se a falta de conhecimento desta prática pelos utilizadores invalida o consentimento implícito, são o tipo de questões que o Comissário Irlandês para a Protecção de Dados já demonstrou estar disposto a levar a tribunal. O quadro regulamentar digital em evolução da Europa está avançando constantemente no sentido de exigir a divulgação explícita de todas as coletas de dados sensíveis, e uma operação de descoberta desta escala conduzida sem referência a uma política de privacidade pareceria difícil de alinhar com essa direção de viagem.
LinkedIn é uma subsidiária da Microsoft adquirida em 2016 por US$ 26,2 bilhões. A Microsoft tem expandido agressivamente as suas capacidades de IA para 2026. O enorme conjunto de dados de identidades profissionais e históricos de emprego do LinkedIn constitui uma parte significativa da infraestrutura de dados na qual estas funcionalidades se baseiam. A relação entre as práticas de recolha de dados do LinkedIn e as ambições mais amplas de IA da Microsoft também não é abordada na política de privacidade do LinkedIn.
O que isso significa para você
O LinkedIn tem mais de 1 bilhão de usuários registrados. A maioria acessa a plataforma por meio de navegadores baseados no Chrome. Isto significa que as varreduras de espectroscopia são executadas regularmente nos dispositivos de uma parcela significativa da força de trabalho profissional mundial, coletando impressões digitais com precisão suficiente para redefinir cookies e potencialmente persistir em vários dispositivos.
A menos que você use um navegador que não seja o Chromium, como o Firefox, que limita, mas não necessariamente remove o recurso de impressão digital do LinkedIn, não há configuração do lado do usuário para impedir a pesquisa. As plataformas não oferecem direitos de exclusão porque, em primeiro lugar, não divulgam as suas práticas. Até 2026, impulsionaremos práticas de dados e IA governadas e transparentes. baseia-se na premissa de que esse tipo de coleta invisível de dados não deve ser o padrão.
Ainda não se sabe se os reguladores agirão com rapidez suficiente para alterar esse padrão na escala do LinkedIn. Um número crescente de empresas de segurança consegue detectar com precisão esse tipo de coleta secreta de dados. Está se tornando um segmento em crescimento, um indicador de mercado que mostra que a lacuna entre o que as plataformas coletam e o que os usuários entendem ainda é muito grande. 2025 é o ano para padronizar a coleta de dados baseada em IA A um ritmo que os regulamentos ainda não conseguiram igualar. BrowserGate é um estudo de caso sobre como o lag se manifesta dentro dos navegadores.
