Hude obtožbe: Microsoftov LinkedIn naj bi vohunil za svojimi uporabniki
Združenje Fairlinked opozarja na afero BrowserGate, v kateri naj bi LinkedIn tajno pregledoval brskalnike uporabnikov in nezakonito zbiral njihove osebne podatke.
Prva stran dneva
Dnevni pregled najpomembnejših zgodb doma in po svetu.
Združenje Fairlinked e.V., ki zastopa poslovne uporabnike in razvijalce programske opreme, je pod imenom »BrowserGate« sprožilo obsežno kampanjo in pravne postopke proti podjetju Microsoft oziroma njegovemu omrežju LinkedIn.
Kampanja razkriva domnevno eno največjih operacij korporativnega vohunjenja in zlorabe osebnih podatkov v sodobni digitalni zgodovini.
Nova dognanja in neodvisne analize te obtožbe še dodatno osvetljujejo in poglabljajo pravne dileme glede nadzora nad uporabniki.
Mehanizem delovanja v ozadju
Mehanizem nadzora po ugotovitvah strokovnjakov deluje povsem neopazno. Ko uporabnik obišče spletno stran linkedin.com, skrita programska koda v ozadju samodejno preišče njegov računalnik oziroma brskalnik.
Sistem identificira nameščeno programsko opremo in razširitve (vtičnike) ter zbrane podatke pošilja neposredno na strežnike LinkedIna in k podjetjem tretjih oseb.
Pri tem nadzoru sodeluje ameriško izraelsko podjetje za kibernetsko varnost HUMAN Security (prej PerimeterX).
Sistem uporablja nevidni element velikosti nič slikovnih pik, ki je skrit izven vidnega polja ekrana in v brskalnik brez vednosti uporabnika namešča piškotke.
Vzporedno tečejo tudi skripti za zbiranje prstnih odtisov brskalnika z lastnih strežnikov LinkedIna in dodatni skripti podjetja Google. Celoten proces poteka šifrirano in ga politika zasebnosti podjetja nikjer ne omenja.
Ker LinkedIn operira z resničnimi podatki uporabnikov, saj pozna njihova imena, delodajalce in nazive delovnih mest, to skeniranje ni anonimno, temveč usmerjeno v točno določene posameznike v milijonih podjetij po vsem svetu.
Kaj vse LinkedIn ugotovi z vohunjenjem? (Praktični primeri)
Združenje opozarja, da tovrstno pregledovanje razkriva izjemno občutljive osebne in poslovne okoliščine.
Skeniranje brskalnika omrežju omogoča, da o uporabnikih in podjetjih izve informacije, ki jih ti nikoli ne bi prostovoljno delili. V praksi to pomeni tri ključne oblike nadzora:
-
Razkrivanje tajnih iskalcev zaposlitve: Če ima uporabnik v brskalniku nameščen vtičnik za pomoč pri iskanju zaposlitve ali optimizacijo življenjepisa, LinkedIn to takoj zazna. Sistem tako natančno ve, da ta oseba aktivno išče novo službo, čeprav na svojem javnem profilu navaja, da je zadovoljna pri trenutnem delodajalcu. Koda po navedbah združenja prepoznava več kot 500 takšnih orodij za iskanje dela.
-
Zbiranje izjemno občutljivih osebnih podatkov: Ljudje uporabljajo razširitve za različne osebne potrebe. Če uporabnik namesti orodje za pomoč pri branju zaradi nevrodivergentnosti, vtičnik, ki opozarja na čas molitve za prakticirajoče muslimane, ali razširitev, ki kaže politično usmeritev, LinkedIn dobi neposreden vpogled v njegova prepričanja ali zdravstveni status. Pridobivanje tovrstnih posebnih kategorij osebnih podatkov brez izrecnega soglasja predstavlja grobo kršitev evropske uredbe GDPR.
-
Korporativno vohunjenje in kraja seznamov strank: LinkedIn na trgu prodajnih orodij tekmuje s podjetji, kot so Apollo, Lusha in ZoomInfo. Če zaposleni v določenem podjetju uporablja eno od teh konkurenčnih razširitev, LinkedIn to zazna in informacijo neposredno poveže z njegovim delodajalcem. S tem LinkedIn tajno pridobiva sezname strank svojih neposrednih konkurentov in te podatke celo izkorišča za pošiljanje opozoril ali groženj uporabnikom teh orodij. Sistem naj bi iskal prisotnost več kot 200 takšnih konkurenčnih prodajnih orodij.
Glede samega obsega nadzora se sicer pojavljajo določena razhajanja. Organizacija Fairlinked trdi, da sistem nadzoruje več kot 6.000 razširitev, medtem ko neodvisne analize kažejo številko okoli 2.953 razširitev. Ne glede na natančno število gre za sistematično zbiranje obveščevalnih podatkov ogromnih razsežnosti.
Pravni precedens in domnevno zavajanje regulatorjev
Pri pravnem vrednotenju tega početja strokovnjaki opozarjajo na pomembno razliko v primerjavi z znanim sodnim primerom hiQ Labs.
Sodišča so v tistem primeru razsodila, da zbiranje javno dostopnih podatkov s profilov na LinkedInu ne predstavlja nepooblaščenega dostopa.
Afera BrowserGate pa odpira povsem novo in bistveno resnejšo pravno poglavje. Brskanje po nameščenih razširitvah v brskalniku namreč ne pomeni zbiranja javnih podatkov, temveč neposreden vdor v zasebno digitalno okolje uporabnika.
Poseben del obtožb se nanaša na ravnanje podjetja v luči evropske zakonodaje. Evropska unija je leta 2023 LinkedIn označila za vratarja v okviru Akta o digitalnih trgih (DMA) in mu naložila obveznost, da odpre svojo platformo za storitve tretjih oseb.
Podjetje je regulatorjem nato predstavilo rešitev prek dveh omejenih aplikacijskih vmesnikov (API), ki zmoreta obdelati zgolj 0,07 zahteve na sekundo.
Hkrati LinkedIn za lastne produkte uporablja interni vmesnik Voyager, ki procesira 163.000 zahtev na sekundo, a ga v obsežnem poročilu o skladnosti za Evropsko komisijo sploh ni omenilo.
Medtem ko bi moral zakon DMA ščititi konkurenčna orodja, je platforma vzpostavila sistem za tajno iskanje in kaznovanje uporabnikov teh istih orodij.
Združenje Fairlinked e.V. je na podlagi teh dognanj že vložilo uradne pravne postopke. Evropski regulatorji se zdaj soočajo z vse večjim pritiskom, da ukrepajo in uveljavijo skladnost z zakonodajo proti domnevnemu širjenju nadzora.
Podjetji Microsoft in LinkedIn se na te obtožbe do začetka aprila 2026 še nista uradno odzvali.
Prva stran dneva
Dnevni izbor najpomembnejših zgodb doma in po svetu, dostavljen neposredno v vaš e-poštni nabiralnik.
