LinkedIn bí mật quét hơn 6.000 tiện ích mở rộng trên trình duyệt của bạn: Tại sao điều này đáng lo ngại?

LinkedIn bí mật quét hơn 6.000 tiện ích mở rộng trên trình duyệt của bạn: Tại sao điều này đáng lo ngại?

Khi các công ty bị phát hiện thực hiện các hành vi thu thập dữ liệu đáng ngờ, câu trả lời thường thấy nhất luôn là: "chúng tôi sử dụng công nghệ này để chống gian lận" hoặc "đảm bảo trải nghiệm người dùng tốt hơn". Tuy nhiên, sự thật đơn giản là không có lý do gì để thu thập dữ liệu có thể xác định danh tính người dùng trên toàn bộ mạng web nếu họ không đăng nhập vào dịch vụ của bạn.

Mới đây, các cuộc điều tra đã tiết lộ rằng LinkedIn đang quét trình duyệt của người dùng để tìm kiếm danh sách gồm 6.278 tiện ích mở rộng (extensions). Dữ liệu này sau đó được mã hóa và gửi kèm trong mỗi yêu cầu tới máy chủ của họ.

Hình ảnh minh họa về việc quét dữ liệu trình duyệt

Cơ chế hoạt động của hệ thống quét

Theo các tài liệu từ browsergate.eu và kho lưu trữ GitHub, hoạt động quét này của LinkedIn không phải là mới. Nó bắt đầu ít nhất từ năm 2017 với danh sách chỉ chứa 38 mục. Tuy nhiên, tính đến tháng 4 năm 2026, con số này đã tăng vọt lên 6.278 tiện ích.

Để thực hiện việc này, hệ thống nội bộ của LinkedIn (được gọi là APFC hoặc DNA - Device Network Analysis) sẽ thực hiện các yêu cầu fetch() tới các URL dạng chrome-extension://. Nếu tiện ích không được cài đặt, Chrome sẽ chặn yêu cầu và ghi nhận lỗi. Nếu đã cài đặt, yêu cầu sẽ thành công và LinkedIn ghi nhận lại.

Bạn có thể tự kiểm chứng điều này bằng cách mở LinkedIn trên Chrome, nhấn F12 để mở Developer Tools và chuyển sang tab Console. Hàng loạt thông báo lỗi màu đỏ hiện ra chính là bằng chứng LinkedIn đang "dò xét" máy tính của bạn.

Tại sao việc này lại nguy hiểm?

Hầu hết các kỹ thuật tạo dấu vân tay trình duyệt (browser fingerprinting) thường nhắm vào người dùng ẩn danh để nhận diện thiết bị khi quay lại trang web mà không cần cookie. Tuy nhiên, trường hợp của LinkedIn hoàn toàn khác biệt.

LinkedIn không làm việc với người dùng ẩn danh. Họ nắm giữ danh tính thực của bạn: tên, nhà tuyển dụng, chức danh, lịch sử nghề nghiệp, mức lương và mạng lưới quan hệ chuyên nghiệp.

Khi quá trình quét tiện ích chạy, nó không chỉ xây dựng hồ sơ thiết bị cho một người lạ, mà là gắn một danh sách phần mềm chi tiết vào hồ sơ cá nhân đã được xác minh của bạn.

Màn hình Console hiển thị các lỗi khi quét tiện ích

Hệ thống quét này bao gồm hàng trăm tiện ích tìm kiếm việc làm. Điều này có nghĩa là LinkedIn biết người dùng nào đang thầm lìm tìm kiếm công việc mới trước khi họ thông báo cho công ty hiện tại. Nó cũng bao gồm các tiện ích liên quan đến nội dung chính trị, tôn giáo, hoặc các công cụ hỗ trợ người khuyết tật. Thông tin này được thu thập mà không có sự đồng ý của bạn và gắn liền với danh tính chuyên nghiệp của bạn.

Nguy cơ gián điệp doanh nghiệp

Mối đe dọa không chỉ dừng lại ở cá nhân. Vì LinkedIn biết nơi mỗi người dùng làm việc, dữ liệu quét từ một nhân viên có thể góp phần tạo nên bức tranh toàn cảnh về tổ chức của họ.

Với đủ dữ liệu từ nhiều nhân viên, LinkedIn có thể ánh xạ các công cụ nội bộ, sản phẩm bảo mật, đăng ký dịch vụ của đối thủ cạnh tranh và quy trình làm việc của một công ty mà không cần sự cho phép hay kiến thức của tổ chức đó. Trình duyệt của nhân viên trở thành một "cửa sổ" nhìn thấu vào nội bộ doanh nghiệp.

Hệ sinh thái giám sát và vấn đề pháp lý

Hệ thống này không chỉ dừng lại ở việc thu thập. Theo browsergate, LinkedIn đã sử dụng danh sách tiện ích này để suy luận và thực hiện các hành động trừng phạt đối với người dùng cài đặt các công cụ cụ thể. Milinda Lakkam đã xác nhận dưới lời thề rằng: "LinkedIn đã thực hiện hành động đối với người dùng có các tiện ích cụ thể được cài đặt".

Đáng chú ý, không có bất kỳ đề cập nào về việc quét tiện ích trong chính sách quyền riêng tư của LinkedIn. Không người dùng nào được yêu cầu đồng ý hay thông báo về việc này.

Về mặt pháp lý, vấn đề đang trở nên nghiêm trọng hơn. Vào năm 2024, Microsoft (công ty mẹ của LinkedIn) được chỉ định là "người gác cổng" theo Đạo luật Thị trường Kỹ thuật số (DMA) của EU. DMA yêu cầu các nền tảng này phải cho phép các công cụ bên thứ ba truy cập dữ liệu người dùng và cấm hành động chống lại người dùng của các công cụ đó.

Hiện tại, Văn phòng Công tố Tội phạm mạng Trung ương bang Bavaria (Đức) đã xác nhận một cuộc điều tra hình sự liên quan đến vấn đề này. Đây không còn là một tranh chấp tuân thủ đơn thuần, mà là một vấn đề hình sự nghiêm trọng.

Kết luận

Nếu bạn sử dụng LinkedIn và Chrome, việc này đang diễn ra ngay lúc này. Hệ thống này thu thập hàng chục đặc điểm của trình duyệt và thiết bị, từ dấu vân tay canvas, thông số WebGL, cho đến pin và địa chỉ IP, tất cả đều được liên kết với danh tính thực của bạn.

Trong bối cảnh quyền riêng tư kỹ thuật số ngày càng bị xói mòn, việc một nền tảng chuyên nghiệp thu thập dữ liệu phần mềm chi tiết một cách bí mật đặt ra những câu hỏi lớn về đạo đức và pháp lý mà người dùng cần phải quan tâm.