Hacker News 中文摘要

RSS订阅

LinkedIn扫描6,278个扩展并将结果加密至每个请求中 -- LinkedIn scans for 6,278 extensions and encrypts the results into every request

文章摘要

LinkedIn被曝扫描用户浏览器扩展程序数据,并建立包含6278个扩展的跟踪清单,最早可追溯至2017年。企业常以"反欺诈"等理由辩解,但收集未登录用户的跨网站身份数据实无必要。这种未经明确同意获取个人信息的行为,尤其对涉及职业生活的平台而言,存在严重隐私隐患。

文章总结

标题:领英正在扫描你的浏览器扩展程序——数据用途揭秘

核心内容: 1. 数据收集行为 - 领英自2017年起持续扫描用户浏览器扩展程序,检测清单从最初的38个扩展增长至2026年的6278个 - 通过自动化工具爬取Chrome应用商店扩展包,解析每个清单文件获取网络可访问资源

  1. 隐私风险
  • 将扫描结果与用户实名职业档案(包含姓名、雇主、职位、薪资等)关联
  • 可推断用户求职意向(通过求职类扩展)、政治倾向、宗教信仰等敏感信息
  • 通过员工群体数据反向推断企业机密(内部工具、安全产品等)
  1. 技术实现
  • 采用两种检测方式:硬编码扩展列表探测(6278个特定文件路径)和DOM树光谱分析
  • 数据通过RSA加密传输,并注入后续所有API请求头
  • 属于APFC反欺诈平台(内部称DNA设备网络分析)的一部分,同时收集48种设备特征
  1. 法律争议
  • 涉嫌违反欧盟《数字市场法案》关于第三方工具使用的规定
  • 德国巴伐利亚网络犯罪检察厅已启动刑事调查(非合规争议)
  1. 行业影响
  • 形成跨平台用户画像:职业身份+浏览行为+软件清单+位置历史
  • 通过第三方数据交换使指纹信息在广告生态中流通

关键问题: - 隐私政策未披露该扫描行为 - 未经用户明确同意收集敏感信息 - 对记者、律师等特定群体构成职业风险

技术验证方法: 在Chrome开发者工具控制台可观察到大量扩展探测错误(每个错误对应一个未安装的扩展检测)

(注:原文中部分技术细节代码、图片描述及法律文件准备过程等次要信息已精简,保留核心事实链条)

评论总结

以下是评论内容的总结:

  1. LinkedIn扫描浏览器扩展的争议

    • 主要观点:LinkedIn扫描用户安装的Chrome扩展,收集数据并用于追踪用户信息(如宗教信仰、税务等级等)。
    • 关键引用:
      • "LinkedIn runs an extension scan against a hardcoded list of 6,278 Chrome extensions..."(评论1)
      • "This data can be used to identify your religious affiliations, tax-bracket..."(评论1)
    • 反对观点:数据可能仅用于反欺诈和反爬虫。
      • "It is a million times more likely that this data is strictly used to combat scraping and fraud."(评论13)
  2. 用户隐私与数据使用的担忧

    • 主要观点:用户对LinkedIn的数据收集行为表示不满,尤其是未明确告知的默认数据使用。
    • 关键引用:
      • "Frankly, it is unacceptable to tell a user 'oh we have been using your personal data for 5 months already...'"(评论10)
      • "Are there any transparent alternatives to LinkedIn?"(评论10)
  3. 技术影响与解决方案讨论

    • 主要观点:扫描行为导致高资源占用(如CPU和内存)和技术问题(如登录异常)。
    • 关键引用:
      • "one of the culprits is [li.protechts.net] taking 2GB ram and 8% cpu."(评论12)
      • "I did that and got logged out of LinkedIn."(评论3)
    • 解决方案尝试:
      • 使用Safari或Firefox(评论2、15),或完全删除LinkedIn账户(评论7)。
  4. 道德与职业选择的讨论

    • 主要观点:开发者面临是否实施类似监控功能的道德困境。
    • 关键引用:
      • "WHEN you are asked to implement something like this... which will you choose: object OR comply?"(评论6)
      • "where do we hold the line between telemetry and surveillance?"(评论6)
  5. 其他争议与质疑

    • 主要观点:部分用户质疑扫描行为的真实目的或信息来源的可信度。
    • 关键引用:
      • "Wasn't this specifically some lame-ass attempt to combat some click fraud?"(评论8)
      • "Is this a hallucination? I can't find this quote anywhere else."(评论11)

总结:评论围绕LinkedIn的数据收集行为展开,涉及隐私担忧、技术影响、道德争议及替代方案讨论,观点呈现两极分化。