Nos últimos dias, voltou a saltar o alarme sobre técnicas de rastreamento que, até agora, assumimos mais com empresas de publicidade ou entidades maliciosas do que com redes profissionais: um relatório conhecido como “BrowserGate”, elaborado por Fairlinked e.V., assegura que o LinkedIn incorpora em sua plataforma fragmentos de JavaScript capazes de inspeccionar o navegador de cada visitante para verificar quais extensões estão instaladas e coletar vários dados do dispositivo.
O ponto que mais preocupa aqueles que leram o relatório é que os resultados dessa verificação, segundo os autores, não ficam anónimos: estariam vinculados a contas reais do LinkedIn, o que permitiria associar uma lista de extensões instaladas com nomes, empresas e postos de trabalho concretos. Se isso fosse assim, a informação poderia revelar ferramentas comerciais usadas por funcionários de uma empresa e, em última análise, mapear quais empresas usam certos produtos da concorrência, uma acusação que o relatório exemplifica, citando nomes conhecidos do setor de vendas e prospecção.
Parte destas afirmações recebeu verificação independente. Meios técnicos como BleepingComputer Foram reproduzidas verificações e observaram no site do LinkedIn a carga de um programa com nome aleatório que realiza testes sobre a presença de milhares de extensões em navegadores Chromium. A técnica é conhecida: o script tenta carregar recursos (por exemplo imagens ou arquivos) associados a identificadores de extensões concretas; se o recurso existir, é uma indicação de que a extensão está presente. Um exemplo deste método pode ser consultado em BrowserLeaks, que documenta como certas características e rotas podem delatar extensões instaladas.
Os dados técnicos que foram encontrados mostram uma progressão inquietante: o mesmo tipo de script foi detectado previamente com uma cobertura de cerca de 2.000 extensões, depois um repositório público em GitHub mostrou cerca de 3.000 e as verificações mais recentes indicam que a detecção poderia superar as 6.000 extensões. Além das extensões, o mesmo programa coleta informações sobre o computador e o navegador: número de núcleos de CPU, memória disponível, resolução de tela, fuso horário, idioma, estado de bateria e outros parâmetros que, em conjunto, ajudam a construir uma impressão única do dispositivo.
Por que você deveria nos importar isso, mesmo que não sejamos usuários de ferramentas comerciais? Porque a combinação de identificadores de extensões com uma conta real numa rede profissional muda a equação. Uma pegada de navegador isolada é já uma ameaça para a privacidade, mas quando se associa a uma identidade profissional concreta abre a porta a usos que vão além da mera telemetria: desde a identificação de clientes potenciais de uma ferramenta até a possibilidade de tomar decisões comerciais ou técnicas sobre usuários concretos.
O LinkedIn, por sua vez, não nega a detecção de extensões. A empresa explicou que rastreia a presença de determinadas extensões para proteger a plataforma, prevenir scraping e detectar comportamentos automatizados que possam afetar a estabilidade ou a privacidade dos membros. De acordo com a versão que traduziu, o LinkedIn usa a existência de recursos estáticos ligados a algumas extensões para identificar aquelas que injetam código ou imagens em suas páginas, e defende que este processo é realizado para fins de segurança e cumprimento de seus termos de uso. Também afirmou que parte do debate vem de um conflito legal com o desenvolvedor de uma extensão concreta, e que um tribunal alemão rejeitou medidas cautelares solicitadas por esse desenvolvedor.
No entanto, um espaço cinzento: nem o relatório de Fairlinked nem as verificações jornalísticas puderam provar de forma pública e conclusiva como esses dados são usados em larga escala ou se partilhados com terceiros. A história do tracking mostra-nos que técnicas inicialmente justificadas por motivos de segurança podem evoluir para usos comerciais mais amplos; por isso é razoável pedir transparência e limites claros sobre recolha, retenção e finalidade dos dados.
A técnica em si não é nova; a comunidade de segurança e privacidade há anos alertando sobre a construção de impressões digitais a partir de parâmetros do navegador e do sistema. Organizações como a Electronic Frontier Foundation já explicaram há muito tempo porque a combinação de muitos pequenos traços de um navegador pode convertê-lo em um identificador persistente ( Panopticlick / EFF). A novidade neste caso é a escala e o contexto: uma rede profissional onde os perfis estão atados a identidades reais.
Se você é usuário habitual do LinkedIn e se preocupa com sua privacidade, há medidas práticas que convém conhecer. Não se trata de alarmar, mas sim de entender o ecossistema: revisar as extensões instaladas, minimizar as que têm permissões amplas, usar navegadores com protecções anti-fingerprinting e manter separados os perfis e sessões quando trabalhas com contas profissionais sensíveis são ações que reduzem a superfície de exposição. Navegadores orientados para privacidade como Tor Browser ou Brave oferecem maiores defesas frente a essa classe de técnicas, embora com suas próprias limitações para o uso cotidiano.
A história de “BrowserGate” coloca sobre a mesa questões que vão além do LinkedIn: quais limites devem existir para a coleta de sinais do navegador em sites que exigem identidades reais? Até que ponto a segurança pode justificar inspecções tão intrusivas? E talvez o mais importante, como se verifica por parte da comunidade e dos reguladores que esses dados não estão a alimentar atividades comerciais que prejudiquem a concorrência ou a privacidade das pessoas?
Enquanto as partes enfrentadas apresentam os seus argumentos, convém que reguladores, auditores independentes e a imprensa técnica continuem a pedir acesso a testes e controlos. A confiança em plataformas que misturam identidade profissional e dados técnicos depende tanto de medidas de segurança legítimas como de transparência e limites claros sobre a utilização das informações coletadas. Para aprofundar as peças técnicas e a documentação disponível, consultar o relatório original em BrowserGate, as verificações jornalísticas em BleepingComputer, e exemplos de como se detectam extensões em BrowserLeaks e em repositórios públicos como o Repositório citado no GitHub.
Em resumo: Existe evidência técnica de que o LinkedIn executa um programa capaz de identificar milhares de extensões e coletar parâmetros de dispositivo; a empresa insiste que o faz para proteger a plataforma; e o debate atual centra-se na transparência sobre o uso desses dados e nas implicações de privacidade e concorrência que podem resultar de vincular impressões técnicas com identidades reais.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...