LinkedIn kullanıcıların tarayıcı uzantılarını tarıyor

 (browsergate.eu)
2 puan yazan GN⁺ 27 일 전 | 1 yorum | WhatsApp'ta paylaş
  • LinkedIn'in kullanıcıların tarayıcı uzantılarını gizlice taradığı ve sonuçları kendi sunucularına ve üçüncü taraf sunucularına gönderdiği doğrulandı
  • Bu süreç kullanıcı onayı veya bilgilendirme olmadan çalışıyor ve LinkedIn'in gizlilik politikasında da belirtilmiyor
  • Tarama hedefleri arasında siyasi görüş, din, engellilik durumu ve iş arama faaliyetleri gibi hassas bilgileri açığa çıkarabilecek uzantılar yer alıyor
  • LinkedIn'in bunu kullanarak rakip ürünleri kullanan şirketleri tespit ettiği ve üçüncü taraf araç kullanıcılarını yaptırımla tehdit ettiği örnekler bulunduğu belirtiliyor
  • Fairlinked e.V. bunu büyük ölçekli bir gizlilik ihlali ve kurumsal casusluk faaliyeti olarak tanımlıyor; hukuki süreç ve kamuya açık ihbarlar üzerinde çalışıyor

LinkedIn'in yasa dışı tarayıcı uzantısı taraması iddiası

  • LinkedIn'in kullanıcıların bilgisayarına kurulu tarayıcı uzantılarını gizlice taradığı ve sonuçları kendi sunucularına ve üçüncü taraf sunucularına gönderdiği doğrulandı
    • Bu kod kullanıcı onayı veya bilgilendirme olmadan çalışıyor ve LinkedIn'in gizlilik politikasında buna dair bir ifade bulunmuyor
    • Toplanan veriler HUMAN Security (eski adıyla PerimeterX) gibi üçüncü taraf şirketlere de gönderiliyor
  • LinkedIn, kullanıcıların gerçek adı, çalıştığı şirket ve görev unvanı bilgilerine sahip olduğundan, taramayı anonim ziyaretçiler yerine kimliği belirlenebilir kişiler ve şirketler düzeyinde gerçekleştiriyor
    • Bu da dünya genelinde yüz milyonlarca şirket içi verinin her gün toplanabildiği bir yapı oluşturuyor
    • İnceleme sonucuna göre bu davranışın değerlendirilen tüm yargı alanlarında yasa dışı veya cezai suç sayılma ihtimali bulunuyor

Soruşturmayı yürüten taraf ve amaç

  • Fairlinked e.V., ticari LinkedIn kullanıcılarının birliği olup platforma bağımlı profesyonelleri, şirketleri ve araç geliştiricilerini temsil ediyor
  • BrowserGate, bu kuruluşun yürüttüğü soruşturma ve kampanya olup büyük ölçekli kurumsal casusluk ve gizlilik ihlali olaylarını belgelemeyi, bunları kamuya ve düzenleyici kurumlara duyurmayı, ayrıca hukuki süreç için kanıt toplama ve fon oluşturmayı amaçlıyor

Başlıca bulgular

  • Büyük ölçekli gizlilik ihlali

    • LinkedIn'in taraması, kullanıcıların dini inancı, siyasi eğilimi, engellilik durumu ve iş arama faaliyetlerini ortaya çıkarabilecek uzantıları tespit ediyor
    • Örnek olarak Müslüman kullanıcılar için uzantılar, siyasi eğilimle ilgili uzantılar, nöroçeşitlilik sahibi kullanıcılar için araçlar ve iş aramayla ilgili 509 uzantı sayılıyor
    • Bu veriler AB hukuku uyarınca toplanması başlı başına yasak olan kategorilere giriyor ve LinkedIn bunu rıza, açıklama veya hukuki dayanak olmadan yapıyor

  • Kurumsal casusluk ve ticari sırların elde edilmesi

    • LinkedIn, kendi satış araçlarıyla rekabet eden Apollo, Lusha, ZoomInfo gibi 200'den fazla ürünü tarıyor
    • Kullanıcının işveren bilgisi üzerinden hangi şirketin hangi rakip ürünü kullandığı anlaşılabiliyor; bu da binlerce yazılım şirketinin müşteri listelerinin izinsiz çıkarılması sonucunu doğuruyor
    • LinkedIn'in bu verileri kullanarak üçüncü taraf araç kullanıcılarına yaptırım tehdidi içeren bildirimler gönderdiği örnekler bulunuyor

  • AB düzenlemelerinden kaçınma

    • 2023'te AB, LinkedIn'i Digital Markets Act (DMA) kapsamında bir gatekeeper olarak tanımladı ve üçüncü taraf araçlara erişime izin vermesini emretti
    • LinkedIn buna karşılık sınırlı iki API yayımladı, ancak bunlar saniyede yalnızca 0,07 çağrı düzeyinde kalıyor
    • Buna karşılık dahili API olan Voyager, saniyede 163.000 çağrı ile tüm web ve mobil ürünleri çalıştırıyor
    • Microsoft'un AB'ye sunduğu 249 sayfalık raporda “API” ifadesi 533 kez geçerken “Voyager”dan bir kez bile söz edilmiyor
    • Aynı dönemde LinkedIn gözetim kapsamını genişleterek tarama listesini 2024'te yaklaşık 461 üründen 2026 Şubat itibarıyla 6.000'in üzerine çıkardı
    • AB üçüncü taraf araçların açılmasını isterken LinkedIn'in kullanıcıları izleyip cezalandıran bir sistem kurduğu belirtiliyor

  • Üçüncü taraf veri aktarımı

    • LinkedIn, HUMAN Security'nin görünmez izleme öğesini (0 piksel boyutunda) yükleyerek kullanıcının farkında olmadan çerez yerleştiriyor
    • LinkedIn'in kendi sunucularından parmak izi çıkarma script'i çalıştırılıyor ve Google'ın script'leri de her sayfa yüklemesinde devreye giriyor
    • Tüm bu veri aktarımları şifrelenmiş durumda ve dışarıya açık değil

Destek çağrısı

  • Microsoft'un 33.000 çalışanı ve 15 milyar dolarlık hukuk bütçesi bulunuyor
  • Fairlinked kanıt elde etmiş olsa da, hukuki süreç için insan kaynağına ve maddi desteğe ihtiyaç duyuyor
  • Web sitesi üzerinden katılım, bağış ve basına ihbar gibi adımlar atılması çağrısında bulunuluyor

İlgili okumalar

1 yorum

 
GN⁺ 27 일 전
Hacker News yorumları

  • Başlık biraz abartılı gibi görünüyor
    Aslında olan şey, Chrome tabanlı bir tarayıcıda LinkedIn her açıldığında JavaScript’in kurulu tarayıcı eklentilerini sessizce taraması ve sonucu şifreleyip sunucuya göndermesi
    Bu davranış istilacı görünüyor ama günümüzde reklam kodu içeren sitelerde sık görülen bir tarayıcı parmak izi toplama (fingerprinting) türü gibi duruyor
    Yine de belirli eklenti kimliklerini tek tek sorgulama yöntemi muhtemelen API kısıtları yüzünden kullanılıyor
    Sorunlu ama aşırı korku pompalayan çerçevelemeye katılmıyorum
    Bu yüzden reklam engelleyici kullanıyorum

    • Tarayıcı eklentilerini yoklamak aslında bilgisayarı taramak sayılmaz mı diye düşündürüyor
      Chrome’un V3’te extensionId’yi rastgeleleştirmesinin nedeni tam da bunu engellemekti
      LinkedIn belirli dinî eklentileri bile listeye koyduysa, bu sadece teknik bir gerekçe değil, kasıtlı bir tercih gibi görünüyor
    • Böyle bir davranışı ‘beklemek’ başlı başına sorun bence
      Reklam engelleyiciler kusursuz bir savunma değil ve bilgi çıkarımı ile davranış yönlendirme sürekli yeni biçimlerde karşımıza çıkıyor
    • FBI’ın bile reklam engelleyici önerdiği bir dünyada yaşıyor olmamız şaşırtıcı
      Ama herkes gerçekten bunu yapsa internet ekonomisinin büyük bir kısmı çökerdi
      FBI’ın “dünyanın en büyük 3. şirketinin iş yapış biçiminden kendinizi koruyun” demesi ironik
    • LinkedIn’in eklentilerime bakması için hiçbir sebep olmadığını düşünüyorum
      Böyle bir davranışa güçlü şekilde karşı çıkılmalı
    • Bu konu zaten defalarca tersine mühendislikle incelendi
      LinkedIn’in kontrol ettiği eklenti listesi çoğunlukla spam ve scraping araçlarından oluşuyor, sıradan reklam engelleyiciler buna dahil değil
      Oturum açmış kullanıcılar için ayrıca parmak izi toplamaya gerek olmadığından, bunun sadece otomasyon aracı tespiti amacı taşıması muhtemel

  • Bu da LinkedIn’in resmî açıklaması
    İddiayı ortaya atan kişinin hesabı scraping ve kullanım şartları ihlali nedeniyle kısıtlanmış durumda ve buna misilleme olarak yanlış iddialar yaydığı söyleniyor
    LinkedIn, üye verilerini korumak ve site istikrarını sağlamak için yetkisiz veri çekme eklentilerini tespit ettiğini söylüyor
    Eklentiler sabit kaynak URL’leri açığa çıkardığı için varlıkları kontrol edilebiliyor ve bunun geliştirici konsolunda da görülebilecek düzeyde olduğu belirtiliyor
    Bu verinin yalnızca kullanım şartı ihlallerini tespit etmek ve teknik savunmaları geliştirmek için kullanıldığı, hassas bilgi çıkarımı için kullanılmadığı iddia ediliyor
    Ayrıca Alman mahkemelerinde de LinkedIn lehine karar verildiği ekleniyor

    • Amaç ne olursa olsun mahremiyet ihlali meşrulaştırılamaz
      Kullanıcının siyasi, dinî ya da cinsel yöneliminin açığa çıkma riski varsa, bu kullanım şartlarının uygulanmasından çok daha ciddi bir mesele
      Yapılması gereken sadece aşırı trafik üreten hesapları engellemekse, neden bu kadar istilacı bir yöntem kullanıldığını anlamıyorum
      LinkedIn’in ilk büyüme döneminde bile kullanıcı adres defterlerini izinsiz çekip e-posta gönderdiğini hatırlatıyor
    • LinkedIn’in sözünü ettiği ‘kötü amaçlı eklenti listesini’ açıklayıp açıklayamayacağını sormak isterdim
    • Kanıt sunmadan iddia sıraladıkları hissi verdiği için güvenmek zor diyenler var
    • Microsoft ve LinkedIn geçmişte de veri toplama konusunda yalan söylediği için inanması güç bulunuyor
    • OpenAI’ye yatırım yapan Microsoft’un fikrî mülkiyet ihlali konusunda ahkâm kesmeye hakkı olup olmadığı yönünde alaycı tepkiler de var

  • LinkedIn hesabım yok ama adıma sahte bir profil oluşturulmuştu
    Şu anda danışmanlık verdiğim şirketle bağlantılı görünüyordu; itiraz e-postası gönderince LinkedIn silindiğine dair bir onay mesajı yolladı
    Hesabınız olmasa bile LinkedIn sizin için otomatik profil oluşturabiliyor olabilir, dikkat etmek lazım

    • Bunun nasıl mümkün olduğunu merak ediyorum
      Şirketin çalışan listesini yüklemesi mi, Microsoft hesabı entegrasyonu mu; ayrıntılı yol net değil
      Ayrıca kişinin o profili devralması ya da sildirmesi için bir süreç olup olmadığını da bilmek isterdim
    • Bunun aslında gerçek kişinin kimliğine bürünen dolandırıcı bir hesap olma ihtimali de var
      Uzaktan çalışmanın yaygınlaşmasından sonra bu tür örnekler arttı; birkaç maaş almak bile kârlı olduğu için sık yaşanıyor
    • Bu örnek, LinkedIn’in neden böyle davrandığını açıklayan tek ipucu olabilir

  • Birkaç yıl öncesine kadar bu tür izinsiz parmak izi toplama doğrudan casus yazılım sayılırdı
    LinkedIn’in şu an yaptığı ‘spectroscopy’, eklenti tespiti ile DOM kalıntısı analizini birleştiren bir yöntem
    Reklam engelleyicilerle engellemek zor ve Chrome dışına çıkmak da tam koruma sağlamıyor
    Sonuçta gerekli olan şey, tarayıcı üreticisi düzeyinde gerçek bir gizlilik modu

    • Aslında reCAPTCHA gibi servisler de 15 yılı aşkın süredir tarayıcı parmak izi kullanıyor
      Eklenti tespiti yaygın değil ama parmak izi toplamanın kendisi çok eski bir uygulama
      fingerprint.com/demo üzerinden kendi tarayıcımın ne kadar açık verdiğini test ettim
    • Microsoft her zaman bu şekilde daha kötü ürünleri piyasaya kilitleyerek ilerledi
      Windows, Office, SharePoint, LinkedIn; hepsi için aynı şey söylenebilir

  • LinkedIn’in İslami içerik filtresi, anti-Siyonist etiketler, nöroçeşitlilik yardımcı araçları gibi eklentileri bile tespit etmesi, güven açısından ciddi bir yıkım

    • Bu eklentilerin önemli bir kısmı gerçekte veri çalmaya yönelik kötü amaçlı eklentiler olabilir
      Dışarıdan toplumsal konu ya da erişilebilirlik aracı gibi görünseler de içeride kullanıcı verisini sızdıran örnekler çok
    • Bu davranış reklam hedefleme ya da parmak izi toplamanın bir parçası; yalnızca Microsoft’a özgü bir mesele değil
      İnternet genelinde güven erozyonu onlarca yıldır sürüyor
    • Bence bu fikirler kötü niyetli bir yöneticiden değil, ahlaktan çok parayı öne koyan çalışanlardan çıktı
    • LinkedIn’in tespit ettiği eklenti listesine bakıldığında ‘Anti-woke’, ‘Vote With Your Money’, ‘No more Musk’ gibi siyasi eğilimi ele veren eklentiler epey fazla

  • Bir web sitesinin belirli eklentileri tespit edebilmesinin kendisi başlı başına sorun
    Meşru bir ihtiyaç varsa, eklenti kendi kendine hangi sitelere kendini görünür kılacağını seçebilmelidir

    • Pratikte eklentiler belirli sitelerde etkin olacak şekilde ayarlanıyor ve o sırada açığa çıkan herkese açık kaynak dosyaları üzerinden varlıkları anlaşılabiliyor
      LinkedIn bu yöntemle 6000’den fazla eklentiyi tarıyor
      Eskiden sayı yaklaşık 100’dü, şimdi ise çok daha saldırgan biçimde genişletilmiş durumda

  • Ben kişisel ve iş tarayıcılarımı farklı cgroup ve jail ortamlarında ayırarak kullanıyorum
    Kurulumu zahmetli ama gizlilikle iş verisinin karışmaması içimi rahatlatıyor
    En azından genel kullanıma açık ve özel kullanım için iki ayrı profil ayırmayı tavsiye ederim
    Microsoft’un benim ‘Otaku Neko StarBlazers Tru-Fen Extendomatic’ gibi bir eklenti kurup kurmadığımı bilmesini istemem

    • Ben de ayrı bir yetişkin içerik için Firefox profili tutuyorum
    • O eklentiyi gerçekten aratıp bakan biri de olmuş
    • Bu tür ayrılmış ortamlar için Qubes OS çok uygun. Günlük kullanımda kullanıyorum ve kuvvetle tavsiye ederim

  • Bu olay sonunda Chrome’un sandbox modelinin başarısızlığını gösteriyor
    Hukuki düzenlemeden çok teknik çözüm daha basit ve etkili olabilir

    • Chrome eklentileri, manifest.json içindeki web_accessible_resources üzerinden iç dosyaları dışarı açıyor
      LinkedIn de bu yapıyı kullanıp fetch istekleriyle kurulu olup olmadığını anlıyor
      Bunun tasarım gereği mi olduğu sorgulanıyor
    • İlgili yorum bunun o kadar basit bir mesele olmadığını söylüyor
    • Chrome geliştiricilerinin izlemeyi önleme konusunda güçlü bir motivasyona sahip olmaması da ayrı bir sorun
      Teknik savunma ile etik öfke birlikte yürümeli

  • Büyük teknoloji şirketlerine güvenmek için bir sebep yok
    Mahremiyeti korumak için tarayıcı container özelliği kullanılmalı
    Benim yaptığım LinkedIn Container eklentisi Firefox’ta LinkedIn etkinliğini izole ediyor
    İleride bu eklentiyi LinkedIn’in tarama girişimlerini de engelleyecek şekilde geliştirmeyi planlıyorum

  • Bu olay korkunç ama aynı zamanda JavaScript’in 6000’den fazla fetch çağrısını paralel işleyebilmesi teknik olarak etkileyici
    Ağ yığınına bile uğramadan bu verimin çıkması, JS’in ne kadar ilerlediğini gösteriyor