- LinkedIn Chrome में
chrome-extension:// URL requests भेजकर यह जांचता है कि कौन-से specific extensions इंस्टॉल हैं, और जो इंस्टॉल नहीं हैं वे developer tools console में request failure errors के रूप में दिखाई देते हैं
- browsergate.eu के रिकॉर्ड और GitHub tracking repository के अनुसार यह स्कैन कम-से-कम 2017 से जारी है, और target list 38 से बढ़कर अप्रैल 2026 तक 6,278 हो गई
- LinkedIn के पास पहले से ही उपयोगकर्ता का नाम·नियोक्ता·पद·करियर·लोकेशन होता है, इसलिए extension scanning किसी anonymous device fingerprint की तरह नहीं बल्कि verified professional identity पर software list जोड़ने जैसा बन जाता है
- यह स्कैन LinkedIn के APFC device fingerprinting system का हिस्सा है, जो canvas fingerprint, WebGL, audio behavior, fonts, screen info, device memory, WebRTC local IP सहित 48 browser और device characteristics के साथ profile बनाता है
- detection results को
AedEvent और SpectroscopyEvent में package करके RSA public key से encrypt किया जाता है, फिर LinkedIn के li/track endpoint पर भेजा जाता है; browsergate.eu का कहना है कि यह तरीका EU Digital Markets Act का उल्लंघन हो सकता है और इस पर criminal investigation शुरू हुई है
व्यक्तिगत पहचान प्रोफ़ाइल से जुड़ती software list
- सामान्य fingerprinting को आम तौर पर anonymous visitors के browser को cookies के बिना दोबारा पहचानने के तरीके के रूप में देखा जाता है
- इस मामले में profile device level पर पहचानी जा सकती है, लेकिन जरूरी नहीं कि वह सीधे किसी व्यक्ति की पहचान से जुड़ी हो
- LinkedIn anonymous visitor नहीं, बल्कि उपयोगकर्ता का नाम, नियोक्ता, पद, करियर, वेतन सीमा, professional network, लोकेशन पहले से जानता है
- LinkedIn का extension scan किसी अज्ञात visitor का device profile बनाने के बजाय पहले से verified professional identity के साथ detailed software list जोड़ता है
- LinkedIn की scan list में job-seeking से जुड़े सैकड़ों extensions शामिल हैं, जिससे यह पता चल सकता है कि कोई उपयोगकर्ता अपने employer को बताए बिना चुपचाप नौकरी ढूंढ रहा है या नहीं
- political content, धार्मिक अभ्यास, disability assistance और neurodiversity से जुड़े extensions भी इस list में हैं, इसलिए browser software किसी व्यक्ति के निजी जीवन के बारे में अनुमान लगाने का आधार बन सकता है
- LinkedIn उपयोगकर्ता के workplace को जानता है, इसलिए किसी एक employee के scan result से केवल व्यक्ति ही नहीं बल्कि उस organization के internal tools, security products, competitor subscriptions और workflows के बारे में भी जानकारी मिल सकती है
- LinkedIn की privacy policy में extension scanning का खुलासा नहीं है, और उपयोगकर्ताओं से न तो consent मांगा जाता है और न ही उन्हें इसकी सूचना दी जाती है
LinkedIn से आगे की समस्या
-
enforcement और precedent
- LinkedIn extension list का उपयोग करके specific extensions इंस्टॉल करने वाले उपयोगकर्ताओं के बारे में inference निकालता है और enforcement action लेता है
- browsergate के अनुसार Milinda Lakkam ने शपथपूर्वक पुष्टि की: “LinkedIn took action against users who had specific extensions installed.”
- उपयोगकर्ताओं के पास यह जानने का कोई तरीका नहीं है कि उनके software की सूची बनाई जा रही है, वह सूची उनके खिलाफ इस्तेमाल हो रही है, और यह सब LinkedIn की privacy policy में भी नहीं दिखता
-
fingerprinting ecosystem
- browser fingerprinting को आम तौर पर एक site द्वारा signals इकट्ठा कर profile बनाने और sessions के बीच users को पहचानने की समस्या माना जाता है
- LinkedIn का extension scan verified identity से जुड़ी detailed software list बनाता है, और यह profile जरूरी नहीं कि LinkedIn के भीतर ही सीमित रहे
- अगर LinkedIn third-party behavioral datasets खरीदता है और उनमें उपयोगकर्ता का fingerprint मौजूद है, तो LinkedIn उसे अपने पास पहले से मौजूद user data से जोड़ सकता है
- LinkedIn के बाहर की browsing behavior, purchase history, location patterns और interests, LinkedIn account से जुड़े profile का हिस्सा बन सकते हैं
- उल्टा, LinkedIn हर page visit पर लोड होने वाले Google reCAPTCHA enterprise सहित third-party scripts को integrate करता है, जिससे platforms के बीच data flow होता है
- LinkedIn द्वारा verified identity से जुड़ा fingerprint linkedin.com के बाहर के advertising और tracking systems को भी प्रभावित कर सकता है
- LinkedIn में एक बार login करने के बाद, उस visit में बना fingerprint पूरे web पर आपका पीछा कर सकता है
-
वास्तव में जोखिम में रहने वाले user groups
- पत्रकारों, वकीलों, शोधकर्ताओं और human rights investigators के लिए LinkedIn profile ऑनलाइन सबसे detailed verified identity documents में से एक हो सकती है
- LinkedIn profile वास्तविक नाम के साथ professional purpose के लिए जानबूझकर बनाई गई जानकारी है
- extension scanning इस profile के साथ privacy tools, security extensions, investigation tools और productivity apps की installation history को उपयोगकर्ता की जानकारी के बिना जोड़ देती है
- अगर आप LinkedIn और Chrome का उपयोग करते हैं, तो यह collection अभी हो रहा है
APFC और advanced JavaScript fingerprinting
- extension scanning कोई standalone feature नहीं है, बल्कि LinkedIn के internal APFC नामक व्यापक device fingerprinting system का हिस्सा है
- APFC का अर्थ Anti-fraud Platform Features Collection है, और internal रूप से इसे DNA, Device Network Analysis भी कहा जाता है
- LinkedIn इस तरह की tracking के बारे में extension scanning की तुलना में थोड़ा अधिक खुला है, लेकिन ये तरीके commercial websites पर आम हैं
- यह system हर visit पर 48 browser और device characteristics collect करता है
- collected items में canvas fingerprint, WebGL renderer और parameters, audio processing behavior, installed fonts, screen resolution, pixel ratio, hardware concurrency, device memory, battery level, WebRTC के जरिए local IP address, timezone और language शामिल हैं
- extension scanning इस बड़े profile को बनाने वाले inputs में से सिर्फ एक है
तकनीकी रूप से क्या हो रहा है
- LinkedIn का code Chrome में इंस्टॉल specific files को खोजने के लिए
chrome-extension:// URLs पर fetch() requests भेजता है
- अगर extension इंस्टॉल नहीं है, तो Chrome request को block कर देता है और failure log कर देता है
- अगर extension इंस्टॉल है, तो request चुपचाप सफल हो जाती है और LinkedIn इसे record कर लेता है
- verified environment में यह scan लगभग 15 मिनट तक चला और 6,000 से अधिक extensions को खोजा गया
- उपयोगकर्ता Chrome में LinkedIn खोलकर developer tools के console tab में इसे खुद देख सकते हैं
- console में दिखने वाली हर लाल error उपयोगकर्ता के fingerprint का एक हिस्सा है
code structure और detection method
- LinkedIn सभी Chrome visitors के browser में JavaScript code चलाता है, और extension scanning system उसी के भीतर मौजूद है
- संबंधित file लगभग 1.6MB की minified और आंशिक रूप से obfuscated JavaScript file है
- सामान्य minification performance के लिए code को compress करती है, जबकि obfuscation code को पढ़ना और समझना मुश्किल बनाने का अलग कदम है
- LinkedIn ने extension scanning system वाले exact module को obfuscate किया है और उसे हजारों lines वाली JavaScript file के भीतर छिपा दिया है
- file के अंदर browser extension IDs की hardcoded array मौजूद है
- फरवरी 2026 तक इस array में 6,278 entries थीं
- हर entry में दो fields हैं: Chrome Web Store extension ID और उस extension package के अंदर specific file path
- file path कोई संयोग नहीं है, क्योंकि Chrome extensions
web_accessible_resources field के जरिए अपनी internal files को web pages के लिए expose कर सकते हैं
- अगर extension इंस्टॉल है और उसने किसी specific file को accessible घोषित किया है, तो
chrome-extension://{id}/{file} पर भेजी गई fetch() request सफल हो जाती है
- अगर वह इंस्टॉल नहीं है, तो Chrome request को block कर देता है
- LinkedIn list में शामिल सभी 6,278 extensions के लिए specific accessible file पहचानकर सीधे detection करता है
- यह list लगातार maintain और expand की जा रही है, और ऐसा लगता है कि Chrome Web Store extension packages को crawl करके हर manifest से web-accessible resources parse कर detection targets जोड़ने वाला tool भी मौजूद था
दो scan modes और Spectroscopy
- extension scanning दो modes में काम करती है
- पहला mode
Promise.allSettled() का उपयोग करके सभी requests एक साथ भेजता है और पूरे extension set को parallel में detect करता है
- दूसरा mode हर request के बीच configurable delay रखकर sequential requests भेजता है, ताकि network activity समय में फैली रहे और monitoring tools में कम दिखाई दे
- LinkedIn internal feature flags की मदद से इन दोनों modes के बीच switch कर सकता है
- scan को
requestIdleCallback के जरिए delay भी किया जा सकता है, ताकि browser idle होने पर यह चले और उपयोगकर्ता को performance impact महसूस न हो
- Spectroscopy नाम का दूसरा detection system extension list से स्वतंत्र रूप से काम करता है
- Spectroscopy पूरे DOM tree को scan करता है और सभी text nodes तथा element attributes में
chrome-extension:// URL references खोजता है
- यह तरीका LinkedIn की hardcoded list में न होने पर भी page को modify करने वाले extensions को पकड़ सकता है
- दोनों systems को मिलाने पर इंस्टॉल किए गए extensions और वास्तव में page के साथ interact करने वाले extensions दोनों को कवर किया जाता है
telemetry transmission
- दोनों detection systems results को एक ही telemetry pipeline में भेजते हैं
- detected extension IDs को
AedEvent और SpectroscopyEvent objects में package किया जाता है
- इन objects को RSA public key से encrypt करके LinkedIn के
li/track endpoint पर भेजा जाता है
- encrypted fingerprint बाद की sessions के दौरान होने वाली सभी API requests के HTTP headers में insert किया जाता है
- visit के दौरान उपयोगकर्ता जो भी actions करता है, LinkedIn उसे इस value के साथ प्राप्त करता है
कानूनी संदर्भ
- browsergate.eu ने संबंधित legal argument को विस्तार से रखा है
- 2024 में Microsoft को EU Digital Markets Act के तहत gatekeeper नामित किया गया, और LinkedIn regulated products में से एक है
- DMA gatekeepers से third-party tools को user data access की अनुमति देने की मांग करता है और ऐसे tools के users के खिलाफ action लेने पर रोक लगाता है
- browsergate.eu का मानना है कि LinkedIn ने third-party tools के users पर systematic enforcement किया और उन्हें पहचानने के लिए stealthy extension scanning का उपयोग किया, जो इस regulation का उल्लंघन हो सकता है
- यह दावा कानूनी रूप से स्वीकार होगा या नहीं, यह अदालत के निर्णय का विषय है
- Bavarian Central Cybercrime Prosecution Office in Bamberg की Cybercrime Unit ने पुष्टि की है कि criminal investigation शुरू हो चुकी है
- यह संस्था jurisdiction के पार जाने वाले गंभीर cybercrime मामलों को संभालती है
- browsergate.eu ने criminal investigation की पुष्टि और case number दिया है, और कहा है कि वह पूरे court documents जारी करने की तैयारी कर रहा है
अभी कोई टिप्पणी नहीं है.