Hack Alerta

LinkedIn escaneia extensões do Chrome e coleta dados de usuários

Por Redação Hack Alerta Publicado em 03/04/2026 18:08 Riscos e Ameaças Tempo de leitura: 4 min

LinkedIn utiliza scripts ocultos para escanear extensões do Chrome e coletar dados de usuários, levantando preocupações sobre privacidade e segurança corporativa.

Descoberta e escopo

Uma nova investigação revelou que o LinkedIn, plataforma de rede profissional pertencente à Microsoft, está utilizando scripts JavaScript ocultos em seu site para escanear os navegadores dos visitantes em busca de extensões do Chrome instaladas. A prática, batizada de "BrowserGate", levanta preocupações significativas sobre privacidade e segurança de dados, especialmente no contexto corporativo onde o LinkedIn é amplamente utilizado para recrutamento e networking.

O relatório indica que o site do LinkedIn não apenas detecta a presença de extensões, mas também coleta informações sobre o dispositivo e o ambiente do navegador. Isso inclui dados que podem ser usados para fingerprinting, uma técnica que permite identificar e rastrear usuários com base nas configurações únicas de seu navegador e hardware.

Impacto e alcance

A escala da coleta é impressionante, com o LinkedIn potencialmente acessando dados de mais de 6.000 extensões do Chrome. Para profissionais de segurança da informação, isso representa um vetor de ataque indireto. Se uma extensão instalada no navegador de um funcionário for comprometida, o escaneamento do LinkedIn pode expor essa vulnerabilidade ou, inversamente, o próprio mecanismo de escaneamento pode ser explorado para injetar código malicioso.

Além disso, a coleta de dados de extensões pode revelar informações sensíveis sobre as ferramentas de segurança que os usuários estão utilizando. Por exemplo, se um usuário tiver uma extensão de gerenciamento de senhas ou um bloqueador de anúncios específico, isso pode indicar práticas de segurança ou, em alguns casos, a ausência de certas proteções.

Medidas de mitigação recomendadas

Para CISOs e equipes de segurança, a recomendação imediata é revisar as políticas de uso de extensões de navegador em ambientes corporativos. É crucial implementar soluções de gerenciamento de dispositivos móveis (MDM) ou de segurança de endpoint que monitorem e controlem quais extensões podem ser instaladas nos navegadores dos funcionários.

Além disso, as organizações devem considerar o uso de navegadores corporativos com perfis de segurança reforçados, que limitam a capacidade de scripts externos de acessar informações do navegador. A conscientização dos usuários sobre os riscos de instalar extensões de terceiros também é fundamental, especialmente aquelas que solicitam permissões amplas de leitura e modificação de dados.

Implicações regulatórias (LGPD)

No Brasil, a prática levanta questões sobre conformidade com a Lei Geral de Proteção de Dados (LGPD). A coleta de dados de dispositivos e extensões sem consentimento explícito pode violar os princípios de finalidade e necessidade. Organizações que utilizam o LinkedIn para fins corporativos devem estar atentas a como esses dados podem ser processados e se há transparência suficiente sobre a coleta.

A ANPD (Autoridade Nacional de Proteção de Dados) pode considerar essas práticas como um risco à privacidade dos titulares de dados, especialmente se os dados coletados forem utilizados para perfis de comportamento sem o conhecimento do usuário. Empresas que operam no Brasil devem avaliar se suas políticas de privacidade refletem adequadamente essas práticas de coleta de dados.

O que os CISOs devem fazer imediatamente

  1. Auditar extensões: Realizar uma varredura nas extensões instaladas nos navegadores corporativos para identificar aquelas que podem ser vulneráveis ou desnecessárias.
  2. Revisar políticas: Atualizar as políticas de segurança da informação para incluir diretrizes claras sobre o uso de extensões de navegador.
  3. Monitorar tráfego: Implementar soluções de monitoramento de tráfego de rede para detectar atividades suspeitas relacionadas a scripts de fingerprinting.
  4. Conscientização: Treinar os funcionários sobre os riscos de instalar extensões não verificadas e a importância de manter os navegadores atualizados.

Perguntas frequentes

Isso afeta apenas usuários do Chrome? Embora o foco inicial seja o Chrome, a técnica pode ser adaptada para outros navegadores. A segurança deve ser considerada de forma abrangente.

Como saber se minhas extensões estão sendo escaneadas? Não há uma maneira direta de saber, mas o uso de ferramentas de análise de rede pode ajudar a identificar scripts suspeitos.

Devo desinstalar o LinkedIn? Não necessariamente. O foco deve ser na segurança do navegador e no controle de extensões, não na eliminação de ferramentas de trabalho.

Baseado em publicação original de BleepingComputer
Tags: #=linkedin #chrome #privacidade #fingerprinting #microsoft #segurança #dados #lgpd #extensões
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar