2 điểm bởi GN⁺ 2026-04-03 | 1 bình luận | Chia sẻ qua WhatsApp
  • LinkedIn được xác nhận quét bí mật các tiện ích mở rộng trình duyệt của người dùng và gửi kết quả đến máy chủ của LinkedIn và máy chủ bên thứ ba
  • Việc này diễn ra không có sự đồng ý hoặc thông báo của người dùng
  • và cũng không được nêu trong chính sách bảo mật dữ liệu cá nhân của LinkedIn
  • Đối tượng quét bao gồm các tiện ích có thể lộ thông tin nhạy cảm như chính trị, tôn giáo, khuyết tật, hoạt động tìm việc
  • LinkedIn sử dụng điều này để xác định doanh nghiệp đang dùng sản phẩm cạnh tranh và có trường hợp đe dọa áp đặt biện pháp kỷ luật với người dùng của công cụ bên thứ ba
  • Fairlinked e.V. xếp hạng việc này là xâm phạm quyền riêng tư quy mô lớn và hành vi gián điệp doanh nghiệp và đang triển khai phản ứng pháp lý cùng việc tố giác công khai

Tranh cãi về việc LinkedIn quét trái phép tiện ích mở rộng trình duyệt

  • LinkedIn đã được xác minh quét bí mật các tiện ích mở rộng trình duyệt đã cài trên máy tính người dùng và gửi kết quả đến máy chủ của công ty và máy chủ bên thứ ba
    • Mã này chạy không cần sự đồng ý hay thông báo của người dùng và không có nội dung này trong chính sách bảo mật của LinkedIn
    • Dữ liệu được thu thập cũng được chuyển tới các công ty bên thứ ba như HUMAN Security (tiền thân là PerimeterX)
  • LinkedIn nắm giữ thông tin tên thật, nơi làm việc, chức vụ của người dùng, nên quét theo cá nhân và đơn vị doanh nghiệp có thể xác định danh tính, chứ không phải người truy cập ẩn danh
    • Cách tiếp cận này khiến nội dung nội bộ của hàng triệu doanh nghiệp trên toàn cầu được thu thập mỗi ngày
    • Kết quả điều tra cho thấy hành vi này có thể bất hợp pháp hoặc cấu thành tội phạm hình sựmọi thẩm quyền pháp lý đã được xem xét
Quảng cáo

Tổ chức điều tra và mục đích

  • Fairlinked e.V. là hiệp hội người dùng LinkedIn thương mại, đại diện cho chuyên gia, doanh nghiệp và nhà phát triển công cụ phụ thuộc vào nền tảng
  • BrowserGate là cuộc điều tra và chiến dịch do hiệp hội này thực hiện, ghi nhận sự kiện gián điệp doanh nghiệp và xâm phạm quyền riêng tư quy mô lớn, thông báo cho công chúng và cơ quan quản lý, và nhằm thu thập bằng chứng để kiện tụng và gây quỹ.

Các phát hiện chính

  • Xâm phạm quyền riêng tư quy mô lớn

    • Việc quét của LinkedIn phát hiện các tiện ích có thể bật ra thông tin về tín ngưỡng, khuynh hướng chính trị, tình trạng khuyết tật, hoạt động tìm việc của người dùng
    • Ví dụ gồm tiện ích cho tín đồ Hồi giáo, tiện ích liên quan khuynh hướng chính trị, công cụ cho người dùng có tính đa dạng thần kinh, và 509 tiện ích liên quan tìm việc
    • Dữ liệu này thuộc nhóm mà pháp luật EU cấm thu thập, trong khi LinkedIn thực hiện mà không có sự đồng ý, công khai hoặc căn cứ pháp lý
  • Gián điệp doanh nghiệp và đánh cắp bí mật kinh doanh

    • LinkedIn quét hơn 200 sản phẩm cạnh tranh với các công cụ kinh doanh của chính họ như Apollo, Lusha, ZoomInfo
    • Từ thông tin người sử dụng dịch vụ của nhà tuyển dụng, có thể xác định công ty nào đang dùng sản phẩm cạnh tranh nào, dẫn đến việc trích xuất trái phép danh sách khách hàng của hàng nghìn công ty phần mềm
    • LinkedIn đã dùng dữ liệu này trong các trường hợp gửi cảnh báo đe dọa áp dụng trừng phạt đối với người dùng của công cụ bên thứ ba
    Quảng cáo
  • Né tránh quy định của EU

    • Năm 2023, EU chỉ định LinkedIn là gatekeeper theo Digital Markets Act (DMA) và ra lệnh cho phép truy cập công cụ bên thứ ba
    • LinkedIn phản hồi bằng cách công bố hai API giới hạn nhưng chỉ ở mức 0.07 lần gọi mỗi giây
    • Trong khi đó, API nội bộ Voyager163,000 lần gọi mỗi giây và vận hành toàn bộ sản phẩm web/mobile
    • Trong bản báo cáo 249 trang của EU của Microsoft, từ “API” xuất hiện 533 lần trong khi “Voyager” không hề xuất hiện
    • Cùng lúc đó, LinkedIn mở rộng đối tượng giám sát từ khoảng 461 sản phẩm vào năm 2024 lên hơn 6,000 tính đến tháng 2/2026
    • Khi EU yêu cầu mở công cụ bên thứ ba, LinkedIn đã xây dựng một hệ thống để giám sát và trừng phạt người dùng
  • Truyền dữ liệu cho bên thứ ba

    • LinkedIn tải các phần tử theo dõi không nhìn thấy (0 pixel) của HUMAN Security để đặt cookie mà người dùng không nhận ra
    • Trên máy chủ LinkedIn, script nhận dạng dấu vân tay chạy; script của Google cũng chạy trong mọi lần tải trang
    • Tất cả dữ liệu truyền tải này đều được mã hóakhông công khai ra bên ngoài

Kêu gọi hỗ trợ

  • Microsoft có 33,000 nhân viênngân sách pháp lý 15 tỷ đô la
  • Fairlinked đã thu được chứng cứ, nhưng cần nhân lực và tài chính cho các bước pháp lý
  • Trang web kêu gọi các hành động như tham gia, tài trợ, và gửi tin báo cho truyền thông.

1 bình luận

 
GN⁺ 2026-04-03
Ý kiến trên Hacker News
  • Tiêu đề có vẻ hơi cường điệu
    Thực ra, mỗi lần mở LinkedIn trong trình duyệt dựa trên Chrome, JavaScript âm thầm quét các tiện ích mở rộng trình duyệt đã cài rồi mã hóa kết quả để gửi về máy chủ
    Hành vi này có vẻ xâm phạm, nhưng có thể xem là một dạng fingerprinting trình duyệt (browser fingerprinting), loại thường thấy trên các website có mã quảng cáo hiện nay
    Tuy vậy, cách kiểm tra từng extension ID một có lẽ do giới hạn API
    Dù đáng lo, tôi không tán thành cách khung hóa để hù dọa quá mức
    Vì vậy tôi dùng trình chặn quảng cáo

    • Câu hỏi đặt ra là việc dò tìm extension có phải là quét máy tính không?
      Chrome đã random hóa extensionId trong Manifest V3 chính là để ngăn hành vi như vậy
      Nếu LinkedIn đưa cả các extension liên quan tôn giáo vào danh sách, thì đó dường như là lựa chọn có chủ đích, không phải lý do kỹ thuật
    • Tôi nghĩ chính thái độ đã chấp nhận hành vi này là một vấn đề
      Trình chặn quảng cáo không phải hàng rào phòng vệ hoàn hảo, và trích xuất thông tin và thao túng hành vi vẫn liên tục xuất hiện theo cách mới
    • Điều khó tin là đây là thế giới mà cả FBI cũng khuyên dùng chặn quảng cáo
      Nhưng nếu ai cũng làm vậy, một phần khá lớn kinh tế internet sẽ sụp đổ
      Lại càng trớ trêu khi FBI nói: hãy tự bảo vệ mình khỏi cách làm ăn của một công ty thứ 3 thế giới
    • Tôi nghĩ LinkedIn không có lý do nào để nhìn vào extension của mình
      Hành vi này cần phải được phản đối mạnh mẽ
    • Nội dung này đã được reverse engineering nhiều lần rồi
      Danh sách extension mà LinkedIn kiểm tra chủ yếu là công cụ spam/scraping và extension chặn quảng cáo phổ biến không nằm trong đó
      Với người dùng đã đăng nhập, không cần fingerprinting, nên khả năng cao đây chủ yếu nhằm phát hiện công cụ tự động hóa
  • Đây là lập trường chính thức của LinkedIn
    Tài khoản của người báo cáo đang bị hạn chế vì scraping và vi phạm điều khoản, và họ nói đây là tuyên truyền cáo buộc sai như một cách trả đũa
    LinkedIn cho biết để bảo vệ dữ liệu thành viên và sự ổn định của nền tảng, họ phát hiện các extension trích xuất dữ liệu trái phép
    Extension mặc nhiên để lộ URL tài nguyên cố định nên có thể kiểm tra được sự tồn tại, ở mức có thể thấy trong developer console
    Dữ liệu này chỉ dùng cho phát hiện vi phạm điều khoản và cải thiện phòng thủ kỹ thuật, không dùng để suy diễn thông tin nhạy cảm theo lời LinkedIn
    Họ còn nói rằng toà án Đức cũng đã đứng về phía LinkedIn

    • Dù bất kỳ mục đích nào, xâm phạm riêng tư không thể được biện minh
      Nếu có rủi ro lộ xu hướng chính trị, tôn giáo, giới tính của người dùng thì đó là vấn đề nghiêm trọng hơn cả việc thực thi điều khoản
      Nếu chỉ cần chặn các tài khoản có lượng traffic quá lớn là xong, tại sao lại dùng cách xâm phạm như vậy
      Nhớ lại LinkedIn đã từng từng scraping sổ địa chỉ rồi gửi email trái phép ngay cả khi còn đang lớn mạnh
    • Muốn biết LinkedIn có thể công bố danh sách ‘extension độc hại’ mà họ nhắc tới hay không
    • Cảm giác là họ chỉ nêu lập luận mà thiếu bằng chứng khiến khó tin
    • Microsoft và LinkedIn đã từng nói dối về thu thập dữ liệu trước đó, nên rất khó để tin
    • Có cả phản ứng mỉa mai rằng Microsoft, nhà đầu tư của OpenAI, có đủ tư cách để lên án xâm phạm quyền sở hữu trí tuệ hay không
  • Dù không có tài khoản LinkedIn, tôi vẫn có một hồ sơ giả mang tên mình
    Nó đã được liên kết với công ty tôi đang tư vấn, và khi gửi email phản đối, LinkedIn đã gửi email xác nhận đã xóa
    Dù không có tài khoản, LinkedIn có thể tự tạo hồ sơ cho bạn, nên cần cảnh giác

    • Tôi tò mò vì chuyện này có thể xảy ra bằng cách nào
      Có phải công ty tải danh sách nhân sự lên không, hay do liên kết Microsoft Account, đường đi chi tiết chưa rõ
      Tôi cũng muốn biết liệu có quy trình để mình nhận quyền hoặc xóa hồ sơ đó hay không
    • Có khả năng cao đây là hồ sơ lừa đảo giả danh người thật
      Sau khi làm việc từ xa bùng nổ, các trường hợp này trở nên phổ biến, vì chỉ cần nhận được vài lần lương đã có lợi cho bên xấu
    • Trường hợp này cũng có thể là manh mối duy nhất để giải thích vì sao LinkedIn làm như vậy
  • Cách đây vài năm, hành vi fingerprinting trái phép như vậy đã bị xem là spyware
    ‘spectroscopy’ mà LinkedIn đang làm là cách kết hợp phát hiện extension và phân tích tồn dư DOM
    Không dễ chặn bằng trình chặn quảng cáo, và dù rời khỏi Chrome cũng không thể phòng thủ hoàn toàn
    Cuối cùng, cần một chế độ riêng tư thực sự ở mức nhà sản xuất trình duyệt

    • Thực ra, dịch vụ như reCAPTCHA cũng đã dùng fingerprinting trình duyệt hơn 15 năm nay
      Phát hiện extension không phổ biến, nhưng fingerprinting là thực hành đã có từ lâu
      Tôi đã kiểm tra độ dễ tổn thương trình duyệt của mình tại fingerprint.com/demo
    • Microsoft luôn góp phần giữ các sản phẩm kém hiệu quả trong thị trường
      Windows, Office, SharePoint, LinkedIn đều là như vậy
  • Việc LinkedIn phát hiện cả các extension như bộ lọc nội dung Hồi giáo, nhãn chống chủ nghĩa Thiên Chúa? (anti-Sionism), công cụ hỗ trợ neurodiversity** là dấu hiệu nghiêm trọng của suy giảm niềm tin

    • Với nhiều extension trong số này, khả năng cao đây là tiện ích độc hại đánh cắp dữ liệu
      Bề ngoài có vẻ là chủ đề xã hội hay công cụ tiếp cận, nhưng bên trong thường có hành vi kéo dữ liệu người dùng ra ngoài
    • Hành vi này chỉ là một phần của quảng cáo nhắm mục tiêu hoặc fingerprinting, không riêng Microsoft
      Internet nói chung đã trải qua tình trạng xói mòn niềm tin hàng chục năm rồi
    • Tôi nghĩ ý tưởng này không phải do giám đốc ác ý, mà là kết quả của nhân viên đặt tiền hơn đạo đức
    • Xem danh sách extension LinkedIn phát hiện thì có nhiều extension thể hiện lập trường chính trị như ‘Anti-woke’, ‘Vote With Your Money’, ‘No more Musk’
  • Tôi nghĩ bản thân việc một website có thể phát hiện extension đã là một vấn đề
    Nếu có nhu cầu hợp pháp, thì extension nên được quyền tự chọn trang web nào có thể nhìn thấy nó

    • Trên thực tế, extension thường được cấu hình chỉ kích hoạt trên một số site, và khi đó có thể nhận diện sự tồn tại bằng file tài nguyên công khai được phơi ra
      LinkedIn đang quét hơn 6000 extension theo cách này
      Trước đây chỉ khoảng 100, giờ thì mở rộng với quy mô hung hăng hơn nhiều
  • Tôi tách riêng trình duyệt cá nhân và công việc thành các cgroup và jail khác nhau
    Dù cấu hình phiền toái, bù lại dữ liệu cá nhân và công việc không bị lẫn lộn nên an tâm hơn
    Tôi khuyên tách ít nhất hai profile: một cho công khai, một cho riêng tư
    Tôi không muốn Microsoft biết có phải tôi có cài extension như ‘Otaku Neko StarBlazers Tru-Fen Extendomatic’ hay không

    • Tôi cũng có một profile Firefox dành cho nội dung trưởng thành riêng
    • Có người cũng đã tìm kiếm extension này thực tế
    • Môi trường phân tách như vậy rất hợp với Qubes OS. Tôi dùng hằng ngày và khuyến nghị mạnh mẽ
  • Vụ việc này cuối cùng cho thấy sự thất bại của sandbox Chrome
    Phương án kỹ thuật có thể đơn giản và hiệu quả hơn quy định pháp lý

    • Chrome extension phơi bày file nội bộ qua web_accessible_resources trong manifest.json
      LinkedIn dùng cấu trúc này để dùng fetch request và xác định có cài đặt hay không
      Đây có phải là thiết kế có chủ đích hay không?
    • Theo bình luận liên quan, đây không phải vấn đề đơn giản
    • Việc các nhà phát triển Chrome không có động lực mạnh cho việc chống theo dõi cũng là vấn đề
      Cần song song cả phòng thủ kỹ thuật lẫn phẫn nộ đạo đức
  • Các tập đoàn công nghệ lớn không có lý do để được tin
    Để giữ riêng tư, cần dùng tính năng container của trình duyệt
    Extension LinkedIn Container do tôi làm giúp cô lập hoạt động LinkedIn trên Firefox
    Sẽ có bản nâng cấp để extension này chặn nỗ lực quét của LinkedIn trong tương lai

  • Vụ này dù ghê rợn, nhưng cùng lúc cho thấy về mặt kỹ thuật thật ấn tượng khi JavaScript xử lý song song hơn 6000 fetch
    Có thể đạt hiệu suất này mà không đi qua network stack cho thấy JS đã tiến bộ