Mỗi khi người dùng truy cập LinkedIn bằng trình duyệt Chromium, một đoạn mã JavaScript ẩn sẽ tự động quét máy tính để tìm các phần mềm đã cài đặt. Hoạt động này diễn ra mà không có sự hay biết, sự đồng ý của người dùng, cũng như không được đề cập trong chính sách quyền riêng tư của LinkedIn. Thực tiễn này đặt ra những câu hỏi nghiêm trọng về bảo mật thông tin cá nhân và doanh nghiệp.
Một cuộc điều tra chuyên sâu từ nhóm vận động châu Âu Fairlinked e.V., thuộc chiến dịch mang tên “BrowserGate,” đã hé lộ một trong những vụ rò rỉ dữ liệu doanh nghiệp và gián điệp lớn nhất lịch sử kỹ thuật số.
Gián điệp Doanh nghiệp: Bản chất của mối đe dọa mạng
LinkedIn của Microsoft, nền tảng mạng lưới chuyên nghiệp lớn nhất thế giới với hơn một tỷ người dùng, đang vận hành một đoạn mã bí mật. Mã này dò tìm hàng nghìn tiện ích mở rộng đã cài đặt trên trình duyệt của khách truy cập, tổng hợp kết quả, mã hóa chúng, và truyền về máy chủ của LinkedIn cùng các công ty bên thứ ba.
Cơ chế quét tiện ích mở rộng bí mật
Cơ chế này được thiết kế chính xác về mặt kỹ thuật và hoàn toàn vô hình. Mỗi khi người dùng tải trang LinkedIn, một tập lệnh fingerprinting sẽ âm thầm thực thi. Nó dò tìm các định danh tiện ích mở rộng trình duyệt đã biết bằng cách cố gắng truy cập các tệp mà tiện ích mở rộng có thể tùy chọn hiển thị cho các trang web.
Nếu một tệp được tải, tiện ích mở rộng được xác nhận có mặt. Nếu không, nó không tồn tại. Toàn bộ quá trình quét chỉ mất vài mili giây, người dùng không nhận thấy bất kỳ điều gì.
Gói JavaScript của LinkedIn chứa định danh cho hơn 6.167 tiện ích mở rộng trình duyệt. Quá trình quét chỉ được kích hoạt trên các trình duyệt dựa trên Chromium như Chrome, Edge, Brave, Opera và Arc thông qua chức năng kiểm tra isUserAgentChrome() tích hợp. Người dùng Firefox và Safari hiện không bị ảnh hưởng bởi lỗ hổng này. Tìm hiểu thêm về các lỗ hổng liên quan đến Chromium.
Tác động và Hồ sơ Tình báo Doanh nghiệp
Điều làm cho hoạt động giám sát này trở nên nguy hiểm là ngữ cảnh: tài khoản LinkedIn được liên kết với tên thật, nhà tuyển dụng và chức danh công việc. Mọi tiện ích mở rộng được phát hiện đều ngay lập tức được ghép nối với một cá nhân cụ thể.
Vì LinkedIn cũng biết nơi mỗi người dùng làm việc, những bản quét cá nhân này tổng hợp thành các hồ sơ tình báo doanh nghiệp chi tiết. Chúng tiết lộ các công cụ phần mềm mà toàn bộ tổ chức đang sử dụng, mà không có sự biết hoặc đồng ý của các tổ chức đó. Điều này có thể dẫn đến rò rỉ dữ liệu chiến lược.
Phạm vi những gì LinkedIn có thể suy ra từ các tiện ích mở rộng được quét vượt xa sở thích phần mềm đơn thuần. Các nhà nghiên cứu BrowserGate đã xác định các danh mục rủi ro cao sau đây trong số 6.222 tiện ích mở rộng được theo dõi: Tham khảo gói bằng chứng tại BrowserGate.
- Công cụ VPN, Proxy và An ninh mạng (ví dụ: Ad blockers, Privacy tools, Anti-tracking).
- Công cụ Phát triển và Kiểm thử phần mềm.
- Tiện ích mở rộng liên quan đến y tế và sức khỏe (ví dụ: Health and medical extensions).
- Tiện ích mở rộng liên quan đến cộng đồng LGBTQ+ và hỗ trợ người khuyết tật.
- Công cụ tài chính, ngân hàng và tiền điện tử.
- Tiện ích liên quan đến tin tức, truyền thông và học thuật.
- Tiện ích mở rộng về tôn giáo và chính trị.
Vi phạm quy định Bảo vệ Dữ liệu và sự tham gia của Bên thứ ba
Theo Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu, dữ liệu tiết lộ niềm tin tôn giáo, quan điểm chính trị và tình trạng sức khỏe được phân loại là Dữ liệu Loại Đặc biệt (Special Category Data). Việc xử lý loại dữ liệu này không chỉ được quy định chặt chẽ mà còn bị cấm nếu không có sự đồng ý rõ ràng. LinkedIn hiện không có sự đồng ý, không công bố, và không có cơ sở pháp lý nào để thu thập chúng, gây ra nguy cơ rò rỉ dữ liệu nghiêm trọng.
Giám sát mở rộng đến các Bên thứ ba
Hoạt động giám sát này còn mở rộng ra ngoài máy chủ của LinkedIn. Các nhà nghiên cứu BrowserGate đã xác định một yếu tố theo dõi vô hình được tải từ HUMAN Security (trước đây là PerimeterX), một công ty an ninh mạng. Đây là một yếu tố có chiều rộng không pixel, ẩn ngoài màn hình, đặt cookie mà người dùng không hề hay biết.
Một tập lệnh fingerprinting riêng biệt chạy từ máy chủ của LinkedIn, và một tập lệnh thứ ba từ Google thực thi âm thầm trên mỗi lần tải trang. Tất cả đều được mã hóa và không có bất kỳ thông tin nào được tiết lộ, đặt ra mối lo ngại về an toàn thông tin cá nhân.
Công nghệ của HUMAN Security được nhúng trên hàng trăm trang web lớn, nhằm mục đích phân biệt người dùng thực với bot. Tuy nhiên, BrowserGate cho rằng dữ liệu này được chuyển về máy chủ của bên thứ ba, xây dựng hồ sơ thiết bị chi tiết của mỗi khách truy cập. Điều này cũng làm tăng nguy cơ rò rỉ dữ liệu cá nhân và doanh nghiệp.
Hậu quả Pháp lý và Các Biện pháp Khắc phục
Cuộc điều tra của BrowserGate còn cáo buộc rằng LinkedIn đang tận dụng khả năng quét bí mật của mình để thực thi cạnh tranh. LinkedIn đã gửi các đe dọa pháp lý đến người dùng các công cụ của bên thứ ba, sử dụng dữ liệu thu thập được qua hoạt động quét ẩn này để xác định và nhắm mục tiêu vào những người dùng đó.
Đồng thời, LinkedIn đã mở rộng đáng kể quy mô giám sát. Danh sách quét đã tăng từ khoảng 461 sản phẩm vào năm 2024 lên hơn 6.000 vào tháng 2 năm 2026, tăng 1.252%. Hoạt động này nhắm mục tiêu chính xác vào các công cụ mà Đạo luật Thị trường Kỹ thuật số (DMA) được thiết kế để bảo vệ.
Các nhà nghiên cứu độc lập ghi nhận rằng hoạt động này đã có từ ít nhất năm 2017, khi LinkedIn chỉ quét 38 tiện ích mở rộng. Đến tháng 2 năm 2026, con số đó đã tăng lên gần 3.000 và kể từ đó đã tăng hơn gấp đôi.
Tình hình Pháp lý và Hậu quả Rò rỉ Dữ liệu
Fairlinked e.V. tuyên bố hoạt động này là bất hợp pháp và có khả năng là tội phạm ở mọi khu vực pháp lý mà họ đã kiểm tra. Sự kết hợp giữa việc thu thập dữ liệu loại đặc biệt không được tiết lộ, truyền dữ liệu bí mật cho bên thứ ba và cáo buộc lừa dối quy định tạo ra rủi ro nghiêm trọng theo GDPR, Chỉ thị về quyền riêng tư điện tử (ePrivacy Directive) và DMA. Hướng dẫn tuân thủ GDPR cho CISO.
Tổng số người dùng của các tiện ích mở rộng được quét lên tới 405 triệu người. Điều này khiến BrowserGate trở thành một trong những hoạt động thu thập dữ liệu không được tiết lộ lớn nhất trong lịch sử internet thương mại, gây ra vụ rò rỉ dữ liệu quy mô lớn.
Các cơ quan quản lý trên khắp Liên minh Châu Âu đã được thông báo. Các thủ tục pháp lý đang được tổ chức. Hiện tại, mọi người dùng LinkedIn trên trình duyệt Chromium vẫn là đối tượng của hoạt động quét bí mật hàng ngày này.
Các lựa chọn để bảo vệ An toàn Thông tin
Người dùng quan ngại về hoạt động quét có thể thực hiện một số biện pháp ngay lập tức để bảo vệ an toàn thông tin của mình:
- Sử dụng các trình duyệt không phải Chromium như Firefox hoặc Safari.
- Tắt JavaScript cho LinkedIn thông qua cài đặt trình duyệt hoặc sử dụng các tiện ích mở rộng quản lý JavaScript.
- Sử dụng các tiện ích mở rộng trình duyệt tập trung vào quyền riêng tư như uBlock Origin hoặc Privacy Badger để chặn các tập lệnh theo dõi.
- Sử dụng trình duyệt tập trung vào quyền riêng tư (privacy-focused browser).
- Gỡ cài đặt hoặc không truy cập LinkedIn thông qua trình duyệt, thay vào đó sử dụng ứng dụng di động nếu cần.
