LinkedIn उपयोगकर्ताओं के browser extensions स्कैन कर रहा है

 (browsergate.eu)
2 पॉइंट द्वारा GN⁺ 2026-04-03 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • यह पुष्टि हुई है कि LinkedIn उपयोगकर्ताओं के browser extensions को गुप्त रूप से स्कैन कर रहा है और उसके नतीजे अपने तथा third-party servers पर भेज रहा है
  • यह प्रक्रिया उपयोगकर्ता की सहमति या सूचना के बिना चलती है, और LinkedIn की privacy policy में भी इसका उल्लेख नहीं है
  • स्कैन के दायरे में ऐसे extensions शामिल हैं जो राजनीतिक विचार, धर्म, disability, job search activity जैसी संवेदनशील जानकारी प्रकट कर सकते हैं
  • LinkedIn ने इसके जरिए प्रतिद्वंद्वी products इस्तेमाल करने वाली कंपनियों की पहचान की है, और third-party tools उपयोग करने वालों को कार्रवाई की धमकी देने के उदाहरण भी हैं
  • Fairlinked e.V. इसे बड़े पैमाने पर privacy breach और corporate espionage मानता है, और कानूनी कार्रवाई व सार्वजनिक रिपोर्टिंग को आगे बढ़ा रहा है

LinkedIn पर अवैध browser extension scanning के आरोप

  • यह पुष्टि हुई है कि LinkedIn उपयोगकर्ताओं के कंप्यूटर पर इंस्टॉल browser extensions को गुप्त रूप से स्कैन कर रहा था और उसके नतीजे अपने तथा third-party servers पर भेज रहा था
    • यह code उपयोगकर्ता की सहमति या सूचना के बिना चलता है, और LinkedIn की privacy policy में इससे जुड़ी कोई जानकारी दर्ज नहीं है
    • एकत्रित data को HUMAN Security (पूर्व PerimeterX) जैसी third-party कंपनियों को भी भेजा जाता है
  • LinkedIn के पास उपयोगकर्ताओं का असली नाम, employer, job title जैसी जानकारी होती है, इसलिए यह स्कैन anonymous visitors पर नहीं बल्कि पहचाने जा सकने वाले व्यक्तियों और कंपनियों के स्तर पर किया जाता है
    • इसके कारण दुनिया भर की लाखों कंपनियों की आंतरिक जानकारी हर दिन एकत्र होने की संरचना बनती है
    • जांच के अनुसार, यह आचरण समीक्षित सभी jurisdictions में अवैध या आपराधिक अपराध की श्रेणी में आ सकता है

जांच करने वाली संस्था और उद्देश्य

  • Fairlinked e.V. LinkedIn के commercial users का एक association है, जो platform पर निर्भर professionals, companies और tool developers का प्रतिनिधित्व करता है
  • BrowserGate इस संस्था द्वारा चलाया गया investigation और campaign है, जिसका उद्देश्य बड़े पैमाने पर corporate espionage और privacy violations का दस्तावेजीकरण करना, उन्हें जनता और regulators के सामने लाना, तथा कानूनी कार्रवाई के लिए evidence collection और fundraising करना है

प्रमुख निष्कर्ष

  • बड़े पैमाने पर privacy breach

    • LinkedIn का स्कैन ऐसे extensions का पता लगाता है जो उपयोगकर्ताओं के धर्म, राजनीतिक झुकाव, disability status, job search activity को उजागर कर सकते हैं
    • उदाहरण के तौर पर Muslim faith users के लिए extension, राजनीतिक रुझान से जुड़े extensions, neurodivergent users के लिए tools, और job search से जुड़े 509 extensions शामिल हैं
    • ऐसा data EU कानून के तहत ऐसे वर्ग में आता है जिसका collection ही प्रतिबंधित है, और LinkedIn यह काम बिना सहमति, disclosure या कानूनी आधार के कर रहा था

  • corporate espionage और trade secret की चोरी

    • LinkedIn ने Apollo, Lusha, ZoomInfo जैसे अपने sales tools से प्रतिस्पर्धा करने वाले 200 से अधिक products को स्कैन किया
    • उपयोगकर्ता के employer data के जरिए यह पता लगाया जा सकता है कि कौन-सी कंपनी कौन-सा competing product इस्तेमाल कर रही है, जिससे हजारों software कंपनियों की customer lists का अनधिकृत extraction संभव हो जाता है
    • LinkedIn ने इस data का उपयोग कर third-party tools इस्तेमाल करने वालों को कार्रवाई की धमकी भेजने के उदाहरण भी दिखाए हैं

  • EU regulation से बचने की कोशिश

    • 2023 में EU ने LinkedIn को Digital Markets Act (DMA) के तहत एक gatekeeper नामित किया और third-party tools को access देने का आदेश दिया
    • इसके जवाब में LinkedIn ने दो सीमित API जारी किए, लेकिन ये प्रति सेकंड 0.07 calls के स्तर तक ही सीमित हैं
    • दूसरी ओर इसका internal API Voyager प्रति सेकंड 163,000 calls के साथ सभी web और mobile products को चलाता है
    • Microsoft की 249-पृष्ठीय EU report में “API” शब्द 533 बार आता है, लेकिन “Voyager” का एक बार भी उल्लेख नहीं है
    • इसी दौरान LinkedIn ने निगरानी के दायरे का विस्तार करते हुए 2024 में लगभग 461 products से बढ़ाकर फरवरी 2026 तक 6,000 से अधिक products को स्कैन सूची में शामिल कर लिया
    • जब EU ने third-party tools के लिए openness की मांग की, तब LinkedIn ने उपयोगकर्ताओं की निगरानी और उन्हें दंडित करने वाली प्रणाली बना ली

  • third-party data transfer

    • LinkedIn HUMAN Security के अदृश्य tracking element (0-pixel size) को load करता है, जो उपयोगकर्ता की जानकारी के बिना cookies सेट करता है
    • LinkedIn के अपने servers से fingerprinting scripts चलती हैं, और Google scripts भी हर page load पर सक्रिय होती हैं
    • यह सारा data transfer encrypted है और बाहरी तौर पर सार्वजनिक नहीं है

समर्थन का अनुरोध

  • Microsoft के पास 33,000 कर्मचारी और 15 अरब डॉलर का legal budget है
  • Fairlinked के पास सबूत मौजूद हैं, लेकिन कानूनी कार्रवाई के लिए लोगों और आर्थिक सहायता की जरूरत है
  • वेबसाइट के जरिए भागीदारी, समर्थन और media tip-offs जैसी कार्रवाइयों की अपील की गई है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-04-03
Hacker News प्रतिक्रियाएँ

  • शीर्षक थोड़ा बढ़ा-चढ़ाकर लिखा हुआ लगता है
    असल में, जब भी Chrome-आधारित ब्राउज़र में LinkedIn खोला जाता है, JavaScript इंस्टॉल किए गए browser extensions को चुपचाप स्कैन करती है, और उसके नतीजों को एन्क्रिप्ट करके सर्वर पर भेजती है
    यह व्यवहार दखल देने वाला लगता है, लेकिन आजकल ad code वाले websites पर आम तौर पर दिखने वाले browser fingerprinting का ही एक रूप प्रतीत होता है
    हालांकि, अलग-अलग extension ID को एक-एक करके जांचने का तरीका शायद API सीमाओं की वजह से हो
    यह समस्या वाली बात है, लेकिन इसे लेकर जरूरत से ज्यादा डर फैलाने वाली framing से मैं सहमत नहीं हूँ
    इसी वजह से मैं ad blocker इस्तेमाल करता हूँ

    • browser extensions को टटोलना क्या सीधे-सीधे computer scan नहीं है, यह सवाल उठता है
      Chrome ने V3 में extensionId को randomize इसी तरह के व्यवहार को रोकने के लिए किया था
      अगर LinkedIn ने धार्मिक extensions तक को अपनी सूची में डाला है, तो वह सिर्फ तकनीकी वजह नहीं बल्कि जानबूझकर किया गया चयन लगता है
    • मुझे लगता है कि ऐसे व्यवहार को ‘expected’ मानना ही समस्या है
      ad blockers कोई परफेक्ट बचाव नहीं हैं, और जानकारी निकालना व व्यवहार को प्रभावित करना नए-नए तरीकों से सामने आता रहेगा
    • यह भी हैरानी की बात है कि अब FBI तक ad blockers की सिफारिश करती है
      लेकिन अगर सच में सब लोग ऐसा करने लगें, तो internet economy का बड़ा हिस्सा ढह जाएगा
      यह विडंबना है कि FBI ऐसी स्थिति में है जहाँ उसे कहना पड़ रहा है, “दुनिया की तीसरी सबसे बड़ी कंपनी के business model से खुद को बचाइए”
    • मुझे नहीं लगता कि LinkedIn के पास मेरे extensions देखने की कोई भी वजह है
      ऐसे व्यवहार का जोरदार विरोध होना चाहिए
    • यह बात पहले भी कई बार reverse engineering के जरिए सामने आ चुकी है
      LinkedIn जिन extensions की जांच करता है, वे ज्यादातर spam और scraping tools हैं, और सामान्य ad blockers उनमें शामिल नहीं हैं
      logged-in users के लिए अलग से fingerprinting की जरूरत नहीं होती, इसलिए यह सिर्फ automation tools पकड़ने की कोशिश भी हो सकती है

  • यह LinkedIn की आधिकारिक स्थिति है
    शिकायत उठाने वाले व्यक्ति का account scraping और terms of service के उल्लंघन के कारण restricted है, और LinkedIn का कहना है कि वह बदले में झूठे दावे फैला रहा है
    LinkedIn का कहना है कि member data की सुरक्षा और site stability बनाए रखने के लिए वह unauthorized data extraction extensions का पता लगाता है
    extensions fixed resource URL एक्सपोज़ करते हैं, इसलिए उनकी मौजूदगी की पुष्टि की जा सकती है, और यह developer console में भी दिखने वाली चीज़ है
    उनका दावा है कि इस data का उपयोग केवल terms violation detection और technical defenses सुधारने के लिए किया जाता है, न कि sensitive information का अनुमान लगाने के लिए
    साथ ही यह भी जोड़ा गया कि जर्मन अदालत ने भी LinkedIn के पक्ष में फैसला दिया था

    • कोई भी उद्देश्य हो, privacy invasion को सही नहीं ठहराया जा सकता
      अगर इससे उपयोगकर्ता की राजनीतिक, धार्मिक या यौन झुकाव जैसी जानकारी उजागर होने का खतरा है, तो यह terms enforcement से कहीं बड़ा मुद्दा है
      सिर्फ असामान्य रूप से ज्यादा traffic वाले accounts को block कर देना काफी हो सकता है, फिर ऐसी दखल देने वाली पद्धति क्यों अपनाई जाए, यह समझ से बाहर है
      याद दिलाया गया कि LinkedIn के शुरुआती बढ़त के दौर में भी उसने उपयोगकर्ता address books बिना अनुमति scrape करके emails भेजी थीं
    • मैं पूछना चाहूँगा कि क्या LinkedIn अपनी कथित ‘malicious extension list’ सार्वजनिक कर सकता है
    • कुछ लोगों की प्रतिक्रिया है कि बिना सबूत सिर्फ दावे किए जा रहे हैं, इसलिए इस पर भरोसा करना मुश्किल है
    • Microsoft और LinkedIn पहले भी data collection को लेकर झूठ बोल चुके हैं, इसलिए इन पर भरोसा करना कठिन है
    • कुछ लोगों ने तंज किया कि OpenAI में निवेश करने वाले Microsoft को intellectual property infringement पर दूसरों को कोसने का हक है भी या नहीं

  • मेरे पास LinkedIn account नहीं है, फिर भी मेरे नाम से एक fake profile बनाई गई थी
    वह उस कंपनी से जुड़ी हुई दिख रही थी जहाँ मैं अभी consulting कर रहा हूँ, और विरोध में email भेजने पर LinkedIn ने deletion confirmation mail भेजा
    account न होने पर भी LinkedIn अपने-आप profile बना सकता है, इसलिए सावधान रहने की जरूरत है

    • लोग पूछ रहे हैं कि ऐसा संभव कैसे है
      क्या कंपनी employee list upload करती है, या Microsoft account integration की वजह से ऐसा होता है, यह साफ नहीं है
      यह भी जानना चाहेंगे कि क्या उस profile को claim या delete करने की कोई प्रक्रिया मौजूद है
    • यह भी संभव है कि वह किसी और द्वारा बनाया गया fraudulent impersonation account हो
      remote work बढ़ने के बाद ऐसे मामले बढ़े हैं, और कुछ तनख्वाहें मिल जाएँ तो फायदा हो जाता है, इसलिए यह अक्सर होता है
    • कुछ लोगों के मुताबिक यह घटना शायद LinkedIn के ऐसे व्यवहार को समझने की इकलौती ठोस कड़ी हो सकती है

  • कुछ साल पहले तक ऐसी अनधिकृत fingerprinting को spyware माना जाता था
    LinkedIn अभी जो ‘spectroscopy’ कर रहा है, वह extension detection और DOM residue analysis का मिला-जुला तरीका है
    इसे ad blocker से रोकना मुश्किल है, और Chrome छोड़ देने पर भी पूरी सुरक्षा की गारंटी नहीं है
    आखिरकार browser vendors के स्तर पर असली privacy mode की जरूरत है

    • दरअसल reCAPTCHA जैसी सेवाएँ भी 15 साल से ज्यादा समय से browser fingerprinting का इस्तेमाल करती रही हैं
      extension detection उतनी आम नहीं है, लेकिन fingerprinting खुद कोई नई बात नहीं है
      fingerprint.com/demo पर जाकर मैंने अपने browser की कमजोरी जांची
    • Microsoft हमेशा से इसी तरह कमज़ोर products को बाजार में जड़ जमाने देता आया है
      Windows, Office, SharePoint, LinkedIn सभी के साथ यही कहानी है

  • LinkedIn का Islamic content filters, anti-Zionist tags, neurodiversity assistive tools जैसे extensions तक detect करना भरोसे के गंभीर टूटने जैसा है

    • इनमें से कई extensions वास्तव में data-stealing malicious extensions भी हो सकते हैं
      ऊपर से वे सामाजिक मुद्दों या accessibility tools जैसे दिखते हों, लेकिन अंदर से उपयोगकर्ता data चुरा रहे हों, ऐसा अक्सर होता है
    • यह व्यवहार सिर्फ Microsoft की समस्या नहीं, बल्कि ad targeting या fingerprinting के व्यापक ढांचे का हिस्सा है
      पूरे internet में trust erosion दशकों से चल रहा है
    • कुछ लोगों का मानना है कि ऐसे ideas किसी दुष्ट executive से नहीं, बल्कि नैतिकता से ज्यादा पैसे को प्राथमिकता देने वाले कर्मचारियों से आते हैं
    • LinkedIn द्वारा detect किए गए extensions की सूची में ‘Anti-woke’, ‘Vote With Your Money’, ‘No more Musk’ जैसे राजनीतिक रुझान दिखाने वाले extensions भी बड़ी संख्या में शामिल हैं

  • मुझे लगता है कि यह तथ्य ही समस्या है कि websites किसी खास extension का पता लगा सकती हैं
    अगर कोई वैध जरूरत हो, तो extension को खुद यह चुनने की सुविधा होनी चाहिए कि वह किन sites पर अपनी मौजूदगी उजागर करेगा

    • व्यवहार में extensions अक्सर सिर्फ कुछ specific sites पर active होने के लिए सेट किए जाते हैं, और उस समय दिखाई देने वाली public resource files से उनकी मौजूदगी की पुष्टि की जा सकती है
      LinkedIn इसी तरीके से 6000 से अधिक extensions स्कैन कर रहा है
      पहले यह संख्या करीब 100 थी, लेकिन अब इसे काफी आक्रामक तरीके से बढ़ाया गया है

  • मैं personal और work browsers को अलग-अलग cgroup और jail में बाँटकर इस्तेमाल करता हूँ
    सेटअप झंझट वाला है, लेकिन privacy और work data आपस में नहीं मिलते, इसलिए भरोसा रहता है
    कम-से-कम public और private इस्तेमाल के लिए दो अलग profiles रखना मैं सुझाऊँगा
    मुझे यह पसंद नहीं कि Microsoft को पता हो कि मैंने ‘Otaku Neko StarBlazers Tru-Fen Extendomatic’ जैसा कोई extension इंस्टॉल किया है

    • मैं भी अलग adult-use Firefox profile रखता हूँ
    • किसी ने कहा कि उसने सचमुच उस extension को search करके देखा
    • ऐसी compartmentalized setup के लिए Qubes OS बहुत उपयुक्त है। मैं इसे रोज़मर्रा में इस्तेमाल करता हूँ और जोरदार सिफारिश करता हूँ

  • यह पूरा मामला आखिरकार Chrome sandbox की विफलता दिखाता है
    कानूनी regulation की तुलना में तकनीकी समाधान ज्यादा सरल और असरदार हो सकते हैं

    • Chrome extensions manifest.json के web_accessible_resources के जरिए internal files एक्सपोज़ करते हैं
      LinkedIn इसी संरचना का उपयोग fetch requests से installation status पहचानने में करता है
      सवाल है कि क्या यह सचमुच intended design था
    • संबंधित टिप्पणी के अनुसार मामला इतना सीधा नहीं है
    • यह भी समस्या है कि Chrome developers के पास tracking prevention को लेकर खास प्रेरणा नहीं दिखती
      तकनीकी बचाव और नैतिक आक्रोश दोनों साथ-साथ होने चाहिए

  • बड़ी tech companies पर भरोसा करने की कोई वजह नहीं है
    privacy बचाने के लिए browser container features का इस्तेमाल करना चाहिए
    मेरे द्वारा बनाया गया LinkedIn Container extension Firefox में LinkedIn activity को isolate करता है
    आगे मैं इस extension को LinkedIn की scanning कोशिशों को block करने लायक बेहतर बनाने वाला हूँ

  • यह सब भले डरावना हो, लेकिन साथ ही JavaScript का 6000 से ज्यादा fetches को parallel में संभाल लेना तकनीकी रूप से चौंकाने वाला है
    network stack से गुज़रे बिना भी इतनी efficiency मिलना JS की प्रगति को दिखाता है