LinkedIn กำลังตรวจหาส่วนขยายเบราว์เซอร์ของผู้ใช้อยู่

 (browsergate.eu)
2 คะแนน โดย GN⁺ 27 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • มีการยืนยันว่า LinkedIn สแกนส่วนขยายเบราว์เซอร์ของผู้ใช้อย่างลับๆ และส่งผลลัพธ์ไปยังเซิร์ฟเวอร์ของบริษัทเองและของบุคคลที่สาม
  • กระบวนการนี้ ทำงานโดยไม่มีการขอความยินยอมหรือแจ้งให้ผู้ใช้ทราบ และ ไม่ได้ระบุไว้ในนโยบายความเป็นส่วนตัวของ LinkedIn
  • เป้าหมายของการสแกนรวมถึงส่วนขยายที่อาจเปิดเผยข้อมูลอ่อนไหว เช่น การเมือง ศาสนา ความพิการ และกิจกรรมการหางาน
  • LinkedIn ใช้ข้อมูลนี้เพื่อ ระบุบริษัทที่ใช้ผลิตภัณฑ์ของคู่แข่ง และ มีกรณีที่ข่มขู่จะลงโทษผู้ใช้เครื่องมือจากบุคคลที่สาม
  • Fairlinked e.V. ระบุว่านี่คือ การละเมิดความเป็นส่วนตัวขนาดใหญ่และการสอดแนมองค์กร และกำลังผลักดันการดำเนินการทางกฎหมายและการเปิดเผยต่อสาธารณะ

ข้อกล่าวหาเรื่องการค้นหาส่วนขยายเบราว์เซอร์อย่างผิดกฎหมายของ LinkedIn

  • มีการยืนยันว่า LinkedIn ได้ ค้นหาส่วนขยายเบราว์เซอร์ที่ติดตั้งอยู่ในคอมพิวเตอร์ของผู้ใช้อย่างลับๆ และส่งผลลัพธ์ไปยังเซิร์ฟเวอร์ของบริษัทเองและของบุคคลที่สาม
    • โค้ดนี้ ทำงานโดยไม่มีการขอความยินยอมหรือแจ้งให้ผู้ใช้ทราบ และ ไม่มีการระบุเนื้อหาที่เกี่ยวข้องไว้ในนโยบายความเป็นส่วนตัวของ LinkedIn
    • ข้อมูลที่เก็บรวบรวมถูกส่งต่อไปยังบริษัทบุคคลที่สาม เช่น HUMAN Security (เดิมคือ PerimeterX)
  • LinkedIn ถือครองข้อมูล ชื่อจริง สถานที่ทำงาน และตำแหน่งงาน ของผู้ใช้ ทำให้การสแกนนี้ไม่ได้เกิดกับผู้เยี่ยมชมแบบไม่ระบุตัวตน แต่เกิดในระดับของ บุคคลและองค์กรที่สามารถระบุตัวตนได้
    • ส่งผลให้มีโครงสร้างที่เก็บข้อมูลภายในของบริษัทหลายล้านแห่งทั่วโลกทุกวัน
    • จากผลการตรวจสอบ พฤติกรรมดังกล่าวอาจ ผิดกฎหมายหรือเข้าข่ายความผิดทางอาญาในทุกเขตอำนาจศาลที่ได้ตรวจสอบ

หน่วยงานที่ทำการตรวจสอบและวัตถุประสงค์

  • Fairlinked e.V. เป็นสมาคมของผู้ใช้ LinkedIn เชิงพาณิชย์ ซึ่งเป็นตัวแทนของผู้เชี่ยวชาญ บริษัท และนักพัฒนาเครื่องมือที่พึ่งพาแพลตฟอร์มนี้
  • BrowserGate คือการสืบสวนและแคมเปญที่องค์กรนี้ดำเนินการ โดยมีเป้าหมายเพื่อบันทึก กรณีการสอดแนมองค์กรและการละเมิดความเป็นส่วนตัวขนาดใหญ่ แจ้งให้สาธารณะและหน่วยงานกำกับดูแลรับทราบ และ รวบรวมหลักฐานและระดมทุน สำหรับการดำเนินคดีทางกฎหมาย

ประเด็นที่ค้นพบสำคัญ

  • การละเมิดความเป็นส่วนตัวในวงกว้าง

    • การสแกนของ LinkedIn ตรวจจับส่วนขยายที่อาจเปิดเผย ศาสนา แนวโน้มทางการเมือง ความพิการ และกิจกรรมการหางาน ของผู้ใช้
    • ตัวอย่างที่รวมอยู่ ได้แก่ ส่วนขยายสำหรับผู้ศรัทธามุสลิม, ส่วนขยายที่เกี่ยวข้องกับแนวโน้มทางการเมือง, เครื่องมือสำหรับผู้ใช้ที่มีความหลากหลายทางระบบประสาท, และ ส่วนขยายที่เกี่ยวข้องกับการหางาน 509 รายการ
    • ข้อมูลเหล่านี้อยู่ใน หมวดหมู่ที่กฎหมาย EU ห้ามแม้แต่การเก็บรวบรวม และ LinkedIn ดำเนินการดังกล่าว โดยไม่มีความยินยอม การเปิดเผย หรือฐานทางกฎหมาย

  • การสอดแนมองค์กรและการลักลอบเอาความลับทางการค้า

    • LinkedIn สแกน ผลิตภัณฑ์มากกว่า 200 รายการ ที่แข่งขันกับเครื่องมือฝ่ายขายของตนเอง เช่น Apollo, Lusha, ZoomInfo
    • จากข้อมูลนายจ้างของผู้ใช้ บริษัทสามารถทราบได้ว่า องค์กรใดกำลังใช้ผลิตภัณฑ์ของคู่แข่งตัวใด ซึ่งนำไปสู่การ ดึงรายชื่อลูกค้าของบริษัทซอฟต์แวร์หลายพันแห่งออกมาโดยไม่ได้รับอนุญาต
    • มีกรณีที่ LinkedIn ใช้ข้อมูลนี้เพื่อ ส่งคำขู่ลงโทษไปยังผู้ใช้เครื่องมือจากบุคคลที่สาม

  • การหลีกเลี่ยงกฎระเบียบของ EU

    • ในปี 2023 EU ได้กำหนดให้ LinkedIn เป็น gatekeeper ภายใต้ Digital Markets Act(DMA) และสั่งให้ อนุญาตการเข้าถึงสำหรับเครื่องมือของบุคคลที่สาม
    • เพื่อตอบสนอง LinkedIn ได้เปิดเผย API แบบจำกัด สองรายการ แต่ทั้งสองมีระดับการเรียกใช้งานเพียง 0.07 ครั้งต่อวินาที
    • ขณะที่ API ภายในชื่อ Voyager มีการเรียกใช้งาน 163,000 ครั้งต่อวินาที เพื่อขับเคลื่อนผลิตภัณฑ์เว็บและมือถือทั้งหมด
    • ในรายงาน EU ของ Microsoft ที่มีความยาว 249 หน้า คำว่า “API” ปรากฏ 533 ครั้ง แต่ “Voyager” ไม่ถูกกล่าวถึงเลยแม้แต่ครั้งเดียว
    • ในเวลาเดียวกัน LinkedIn ได้ขยายขอบเขตการเฝ้าติดตาม โดยเพิ่มรายการสแกนจาก ประมาณ 461 ผลิตภัณฑ์ในปี 2024 เป็น มากกว่า 6,000 รายการ ณ เดือนกุมภาพันธ์ 2026
    • เมื่อ EU เรียกร้องให้เปิดแพลตฟอร์มแก่เครื่องมือจากบุคคลที่สาม LinkedIn กลับสร้าง ระบบสำหรับเฝ้าติดตามและลงโทษผู้ใช้

  • การส่งข้อมูลไปยังบุคคลที่สาม

    • LinkedIn โหลด องค์ประกอบติดตามที่มองไม่เห็นของ HUMAN Security (ขนาด 0 พิกเซล) และ ตั้งค่าคุกกี้ โดยที่ผู้ใช้ไม่รับรู้
    • บนเซิร์ฟเวอร์ของ LinkedIn เองมีการรัน สคริปต์ fingerprinting และ สคริปต์ของ Google ก็ทำงานทุกครั้งที่มีการโหลดหน้า
    • การส่งข้อมูลทั้งหมดนี้ ถูกเข้ารหัสและไม่เปิดเผยต่อภายนอก

คำขอการสนับสนุน

  • Microsoft มี พนักงาน 33,000 คน และ งบประมาณด้านกฎหมายมูลค่า 15 พันล้านดอลลาร์
  • Fairlinked ระบุว่า ได้รวบรวมหลักฐานแล้ว แต่ยังต้องการ กำลังคนและเงินทุน สำหรับการดำเนินการทางกฎหมาย
  • องค์กรเรียกร้องให้มีการ เข้าร่วม สนับสนุน และแจ้งเบาะแสต่อสื่อ ผ่านทางเว็บไซต์

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 27 일 전
ความคิดเห็นจาก Hacker News

  • ดูเหมือนว่าพาดหัวจะค่อนข้างเว่อร์ไปหน่อย
    ที่เกิดขึ้นจริงคือ ทุกครั้งที่เปิด LinkedIn บนเบราว์เซอร์ที่ใช้ Chromium จะมี JavaScript คอย สแกนส่วนขยายเบราว์เซอร์ที่ติดตั้งไว้อย่างเงียบ ๆ แล้วเข้ารหัสผลลัพธ์ส่งกลับไปยังเซิร์ฟเวอร์
    การกระทำแบบนี้ดูเป็นการล่วงล้ำ แต่ก็ดูเหมือนเป็นรูปแบบหนึ่งของ browser fingerprinting ที่ทุกวันนี้พบได้บ่อยบนเว็บไซต์ที่มีโค้ดโฆษณา
    เพียงแต่การไล่ตรวจสอบ extension ID ทีละตัว อาจเป็นเพราะข้อจำกัดของ API
    แม้จะเป็นปัญหา แต่ก็ไม่เห็นด้วยกับการนำเสนอที่ชวนตื่นตระหนกเกินไป
    นี่จึงเป็นเหตุผลที่ฉันใช้ตัวบล็อกโฆษณา

    • ก็อดสงสัยไม่ได้ว่าการสำรวจส่วนขยายเบราว์เซอร์มันก็คือ การสแกนคอมพิวเตอร์ ไม่ใช่หรือ
      เหตุผลที่ Chrome สุ่ม extensionId ใน V3 ก็เพื่อป้องกันพฤติกรรมแบบนี้นี่เอง
      ถ้า LinkedIn ใส่แม้แต่ส่วนขยายเกี่ยวกับศาสนาเฉพาะเข้าไปในรายการ นั่นก็ดูไม่ใช่แค่เหตุผลทางเทคนิค แต่เป็น การเลือกโดยเจตนา
    • คิดว่าทัศนคติที่มองว่าพฤติกรรมแบบนี้เป็นเรื่องที่ “คาดหวังได้” นี่แหละคือปัญหา
      ตัวบล็อกโฆษณาไม่ใช่เครื่องมือป้องกันที่สมบูรณ์ และ การดึงข้อมูลกับการชักจูงพฤติกรรม ก็จะยังโผล่มาในรูปแบบใหม่ ๆ ต่อไป
    • น่าตกใจเหมือนกันที่โลกนี้ถึงขั้น FBI ยังแนะนำให้ใช้ตัวบล็อกโฆษณา
      แต่ถ้าทุกคนทำแบบนั้นจริง ๆ เศรษฐกิจอินเทอร์เน็ตส่วนใหญ่ก็คงพัง
      มันช่างย้อนแย้งที่ FBI ต้องพูดว่า “จงปกป้องตัวเองจากวิธีทำธุรกิจของบริษัทอันดับ 3 ของโลก”
    • ฉันคิดว่า LinkedIn ไม่มีเหตุผลอะไรเลยที่จะมาส่องส่วนขยายของฉัน
      พฤติกรรมแบบนี้ควรถูก คัดค้านอย่างหนัก
    • เรื่องนี้ถูก reverse engineer มาแล้วหลายครั้ง
      รายการส่วนขยายที่ LinkedIn ตรวจส่วนใหญ่เป็นเครื่องมือสำหรับ สแปมและสแครปข้อมูล และไม่ได้รวมตัวบล็อกโฆษณาทั่วไปไว้
      สำหรับผู้ใช้ที่ล็อกอินอยู่ก็ไม่จำเป็นต้องทำ fingerprinting อยู่แล้ว จึงอาจเป็นแค่การตรวจจับเครื่องมืออัตโนมัติ

  • นี่คือจุดยืนอย่างเป็นทางการของ LinkedIn
    บัญชีของผู้ที่ออกมาเรียกร้องประเด็นนี้ถูกจำกัดไว้เนื่องจาก การสแครปข้อมูลและการละเมิดข้อกำหนดการใช้งาน และบริษัทบอกว่าเจ้าตัวจึงเผยแพร่ข้อกล่าวหาเท็จเพื่อตอบโต้
    LinkedIn อธิบายว่า เพื่อต้องการปกป้องข้อมูลสมาชิกและเสถียรภาพของเว็บไซต์ จึงตรวจจับส่วนขยายที่ใช้ดึงข้อมูลโดยไม่ได้รับอนุญาต
    ส่วนขยายจะเปิดเผย URL ของทรัพยากรแบบคงที่ ทำให้สามารถตรวจสอบการมีอยู่ของมันได้ และเป็นสิ่งที่ เห็นได้แม้ใน developer console
    บริษัทอ้างว่าข้อมูลนี้ใช้เฉพาะเพื่อการตรวจจับการละเมิดข้อกำหนดและปรับปรุงการป้องกันทางเทคนิคเท่านั้น และไม่ได้ใช้เพื่ออนุมานข้อมูลอ่อนไหว
    พร้อมเสริมว่าศาลเยอรมนีก็เคยตัดสินเข้าข้าง LinkedIn

    • ไม่ว่า จุดประสงค์คืออะไร การละเมิดความเป็นส่วนตัวก็ไม่อาจทำให้ชอบธรรมได้
      หากมีความเสี่ยงที่แนวโน้มทางการเมือง ศาสนา หรือรสนิยมทางเพศของผู้ใช้จะถูกเปิดเผย นั่นก็เป็นปัญหาที่ร้ายแรงกว่าการบังคับใช้ข้อกำหนดมาก
      เรื่องที่แค่บล็อกบัญชีที่มีทราฟฟิกเกินปกติก็น่าจะพอแล้ว ทำไมต้องใช้วิธีที่ล่วงล้ำแบบนี้ด้วยจึงไม่เข้าใจ
      ทำให้นึกถึงตอนที่ LinkedIn เริ่มเติบโตใหม่ ๆ ซึ่งเคยมี ประวัติแอบดึงสมุดรายชื่อผู้ใช้ไปส่งอีเมลโดยไม่ได้รับอนุญาต
    • อยากถามว่า LinkedIn เปิดเผย “รายชื่อส่วนขยายอันตราย” ที่ว่ามาได้หรือไม่
    • มีปฏิกิริยาว่ารู้สึกว่าเป็นแค่คำกล่าวอ้างลอย ๆ ไม่มีหลักฐาน จึง เชื่อถือได้ยาก
    • Microsoft กับ LinkedIn เคย โกหกเรื่องการเก็บข้อมูล มาก่อน จึงยากจะเชื่อ
    • ยังมีเสียงเหน็บแนมว่า Microsoft ที่ลงทุนใน OpenAI นั้น มีสิทธิ์อะไรไปประณามการละเมิดทรัพย์สินทางปัญญา

  • ทั้งที่ฉันไม่มีบัญชี LinkedIn กลับมี โปรไฟล์ปลอม ถูกสร้างในชื่อของฉัน
    มันเชื่อมโยงกับบริษัทที่ฉันกำลังทำคอนซัลต์อยู่ในตอนนี้ และพอฉันส่งอีเมลประท้วงไป LinkedIn ก็ส่งอีเมลยืนยันการลบกลับมา
    ต่อให้ไม่มีบัญชี LinkedIn ก็อาจถูกสร้างโปรไฟล์อัตโนมัติได้ จึงควรระวัง

    • อยากรู้ว่าเรื่องแบบนี้เกิดขึ้นได้อย่างไร
      ไม่แน่ใจว่าเป็นเพราะบริษัทอัปโหลดรายชื่อพนักงาน หรือเป็นผลจากการเชื่อมกับบัญชี Microsoft กันแน่ เส้นทางรายละเอียดไม่ชัดเจน
      อีกอย่างก็อยากรู้ว่ามีกระบวนการให้เจ้าตัว รับช่วงหรือขอลบโปรไฟล์นั้น ได้หรือไม่
    • ก็อาจเป็นบัญชี หลอกลวงที่แอบอ้างเป็นตัวจริง ก็ได้
      หลังการทำงานทางไกลแพร่หลาย กรณีแบบนี้เพิ่มขึ้น และถ้าได้เงินเดือนสักไม่กี่ครั้งก็คุ้มแล้ว เลยเกิดขึ้นบ่อย
    • กรณีนี้อาจเป็น เบาะแสเดียว ที่อธิบายได้ว่าเหตุใด LinkedIn ถึงทำพฤติกรรมแบบนี้

  • เมื่อไม่กี่ปีก่อน การทำ fingerprinting โดยไม่ได้รับอนุญาต แบบนี้ยังถูกมองว่าเป็นสปายแวร์
    สิ่งที่ LinkedIn ทำอยู่ตอนนี้ที่เรียกว่า ‘spectroscopy’ คือการผสานการตรวจจับส่วนขยายเข้ากับการวิเคราะห์ร่องรอยที่หลงเหลืออยู่ใน DOM
    บล็อกด้วยตัวบล็อกโฆษณาได้ยาก และต่อให้ออกจาก Chrome ก็ไม่ได้ป้องกันได้สมบูรณ์
    สุดท้ายแล้วสิ่งที่ต้องมีคือ โหมดความเป็นส่วนตัวจริงจังในระดับผู้ผลิตเบราว์เซอร์

    • ที่จริงบริการอย่าง reCAPTCHA ก็ใช้ browser fingerprinting มานานกว่า 15 ปีแล้ว
      การตรวจจับส่วนขยายอาจไม่ค่อยพบบ่อย แต่ตัว fingerprinting เองเป็นธรรมเนียมที่มีมานานแล้ว
      ลองทดสอบความเปราะบางของเบราว์เซอร์ตัวเองได้ที่ fingerprint.com/demo
    • Microsoft ทำแบบนี้มาตลอด คือ ตรึงผลิตภัณฑ์ที่ด้อยกว่าของตัวเองไว้ในตลาด
      Windows, Office, SharePoint, LinkedIn ก็เหมือนกันทั้งหมด

  • การที่ LinkedIn ตรวจจับได้แม้แต่ส่วนขยายอย่าง ตัวกรองเนื้อหาอิสลาม, แท็กต่อต้านไซออนิสต์, เครื่องมือช่วยเหลือด้าน neurodiversity ถือเป็นการทำลายความไว้วางใจอย่างร้ายแรง

    • ส่วนขยายเหล่านี้จำนวนมากอาจจริง ๆ แล้วเป็น ส่วนขยายอันตรายที่ใช้ขโมยข้อมูล
      ภายนอกอาจดูเหมือนเป็นประเด็นสังคมหรือเครื่องมือช่วยการเข้าถึง แต่ภายในอาจกำลังดึงข้อมูลผู้ใช้ออกไป
    • พฤติกรรมแบบนี้ก็เป็นแค่ส่วนหนึ่งของการทำโฆษณาแบบเจาะเป้าหรือ fingerprinting ไม่ใช่ปัญหาของ Microsoft เจ้าเดียว
      การกัดกร่อนความไว้วางใจ เกิดขึ้นต่อเนื่องทั่วทั้งอินเทอร์เน็ตมาหลายสิบปีแล้ว
    • ฉันคิดว่าไอเดียแบบนี้ไม่ได้มาจากผู้บริหารตัวร้าย แต่เป็นผลจาก พนักงานที่ให้เงินมาก่อนศีลธรรม
    • ถ้าดูรายการส่วนขยายที่ LinkedIn ตรวจจับ จะเห็นว่ามี ส่วนขยายที่บ่งบอกแนวโน้มทางการเมือง อยู่มาก เช่น ‘Anti-woke’, ‘Vote With Your Money’, ‘No more Musk’

  • คิดว่าปัญหาอยู่ที่ตัวข้อเท็จจริงที่ว่าเว็บไซต์สามารถตรวจจับส่วนขยายบางตัวได้
    หากมีความจำเป็นที่ชอบธรรม ส่วนขยายก็ควรเป็นฝ่ายเลือกเองได้ว่าจะ เปิดเผยตัวเองต่อเว็บไซต์ใด

    • ในความเป็นจริง ส่วนขยายจะถูกตั้งค่าให้ทำงานเฉพาะบางเว็บไซต์ และสามารถตรวจสอบการมีอยู่ของมันได้ผ่าน ไฟล์ทรัพยากรสาธารณะ ที่ถูกเปิดเผยในช่วงนั้น
      LinkedIn ใช้วิธีนี้สแกนส่วนขยายมากกว่า 6000 รายการ
      เมื่อก่อนมีราว 100 รายการ แต่ตอนนี้ขยายอย่างก้าวร้าวมากขึ้น

  • ฉันแยกเบราว์เซอร์ส่วนตัวกับงานออกจากกันด้วย cgroup และ jail คนละชุด
    แม้การตั้งค่าจะยุ่งยาก แต่ก็สบายใจได้ว่าเรื่องส่วนตัวกับข้อมูลงานจะไม่ปะปนกัน
    อย่างน้อยก็แนะนำให้แยกเป็นสองโปรไฟล์ คือแบบสาธารณะกับแบบส่วนตัว
    ฉันไม่ชอบที่ Microsoft จะรู้ว่าฉันติดตั้งส่วนขยายชื่อ ‘Otaku Neko StarBlazers Tru-Fen Extendomatic’ หรือไม่

    • ฉันเองก็มี Firefox profile สำหรับผู้ใหญ่ แยกไว้อีกอัน
    • มีคนบอกว่าลองค้นหาส่วนขยายนั้นจริง ๆ แล้ว
    • สำหรับสภาพแวดล้อมแบบแยกขาดนี้ Qubes OS เหมาะมาก ใช้เป็นระบบประจำวันอยู่และแนะนำอย่างยิ่ง

  • เหตุการณ์นี้สุดท้ายก็ชี้ให้เห็นถึง ความล้มเหลวของ sandbox ใน Chrome
    การแก้ด้วยเทคนิคอาจง่ายและมีประสิทธิภาพกว่าการออกกฎหมายกำกับ

    • ส่วนขยายของ Chrome เปิดเผยไฟล์ภายในผ่าน manifest.json ของ web_accessible_resources
      LinkedIn ใช้โครงสร้างนี้ตรวจว่าติดตั้งอยู่หรือไม่ผ่านคำขอ fetch
      จึงสงสัยว่านี่เป็นการออกแบบที่ตั้งใจไว้หรือไม่
    • ตาม ความคิดเห็นที่เกี่ยวข้อง ปัญหาไม่ได้ง่ายขนาดนั้น
    • อีกปัญหาคือทีมพัฒนา Chrome เองก็ไม่ได้มีแรงจูงใจมากนักในเรื่องการป้องกันการติดตาม
      การป้องกันทางเทคนิคกับ ความโกรธเชิงจริยธรรม ควรเดินไปพร้อมกัน

  • ไม่มีเหตุผลอะไรให้ เชื่อใจบริษัทเทคโนโลยียักษ์ใหญ่
    ถ้าจะรักษาความเป็นส่วนตัว ต้องใช้ฟีเจอร์ container ของเบราว์เซอร์
    ส่วนขยาย LinkedIn Container ที่ฉันทำขึ้น จะช่วยแยกกิจกรรม LinkedIn ออกจากส่วนอื่นบน Firefox
    ต่อไปฉันวางแผนจะปรับปรุงส่วนขยายนี้ให้บล็อกความพยายามสแกนของ LinkedIn ได้ด้วย

  • เรื่องนี้น่ากลัวก็จริง แต่ในอีกด้านหนึ่ง ความที่ JavaScript สามารถจัดการ fetch มากกว่า 6000 รายการแบบขนานได้ ก็น่าทึ่งในเชิงเทคนิค
    การที่ทำได้มีประสิทธิภาพขนาดนี้โดยไม่ต้องผ่าน network stack แสดงให้เห็นพัฒนาการของ JS