O LinkedIn escaneia tudo que você instala no Chrome. Sem avisar

Cada vez que você abre o LinkedIn no Chrome, um script escondido varre mais de 6.000 extensões instaladas no seu navegador, coleta 48 características do seu dispositivo e manda tudo criptografado pros servidores da empresa. O nome do arquivo JavaScript muda a cada visita pra dificultar a detecção. Você nunca autorizou nada disso.

Esse é o resumo do relatório BrowserGate, publicado pela organização alemã Fairlinked e verificado de forma independente pelo BleepingComputer, um dos sites de segurança digital mais respeitados do mundo.

Como funciona o escaneamento

O LinkedIn injeta um arquivo JavaScript com nome aleatório toda vez que você carrega a página. Esse script usa três técnicas diferentes pra saber o que você tem instalado.

A primeira é a mais agressiva. O script guarda uma lista com mais de 6.000 IDs de extensões do Chrome e tenta acessar cada uma delas usando o protocolo chrome-extension://. Se a resposta volta, a extensão está instalada. Pra evitar que você perceba alguma lentidão, o script opera em dois modos: um paralelo, que dispara todas as 6.000 requisições de uma vez, e um escalonado, que usa intervalos de tempo pra não ativar os alertas do DevTools, a ferramenta de desenvolvedor do navegador.

A segunda técnica é passiva. Uma função recursiva varre toda a estrutura da página (o DOM, a árvore de elementos que compõe o que você vê na tela) procurando qualquer referência a extensões que escaparam da lista principal.

A terceira é o fingerprinting. O script coleta 48 características do seu dispositivo: modelo de CPU, quantidade de RAM, resolução de tela, hash de pixels do canvas, mais de 65 parâmetros da sua placa de vídeo via WebGL, análise de onda sonora pelo AudioContext, IP local via WebRTC, nível de bateria, fuso horário e idioma. Tudo isso é combinado num identificador único que te segue pela plataforma.

Detalhe: o script detecta se você ativou o “Não Rastrear” (Do Not Track) no navegador, mas ignora a configuração. Ele exclui essa informação do seu perfil de fingerprint e continua coletando normalmente.

A lista está crescendo rápido

A escala assusta quando você olha a evolução. Em 2024, o LinkedIn escaneava cerca de 461 extensões. Em 2025, o número subiu pra 2.000. Em fevereiro de 2026, já eram 6.236, um aumento de 1.252% em dois anos. Segundo a análise do BrowserGate, a plataforma adicionou 708 extensões novas só entre dezembro de 2025 e fevereiro de 2026 - uma média de 12 por dia.

O que o LinkedIn consegue saber sobre você

A lista de extensões escaneadas não se limita a ferramentas de produtividade. Quando cruzada com o perfil do LinkedIn, onde constam seu nome real, empresa, cargo e foto, ela revela muito mais do que parece.

O relatório identificou 509 extensões de busca de emprego, como as do Indeed, Glassdoor e Monster. Se você é funcionário de uma empresa e procura emprego em segredo, o LinkedIn agora tem essa informação - na mesma plataforma onde seu chefe provavelmente também tem um perfil.

A lista inclui aplicativos de oração e extensões religiosas, o que pode indicar a religião do usuário. Inclui extensões para TDAH, dislexia e leitores de tela, revelando condições de saúde e neurodivergência. Inclui ferramentas de seleção de fontes de notícias por orientação política.

Mais de 200 extensões escaneadas são de ferramentas de vendas concorrentes, como Apollo, Lusha e ZoomInfo. O LinkedIn consegue mapear exatamente quais empresas usam plataformas rivais ao Sales Navigator, o produto comercial deles.

O pixel invisível e os terceiros

A história não termina nos servidores do LinkedIn. A página carrega um iframe invisível de 0x0 pixel (literalmente um quadrado sem tamanho, imperceptível na tela) do domínio li.protechts.net, que pertence à HUMAN Security, uma empresa de cibersegurança americana-israelense. Esse iframe instala cookies sem consentimento.

O relatório também encontrou o Google reCAPTCHA v3 Enterprise rodando silenciosamente e um sistema de rastreamento entre sites chamado “Merchant Pool”.

O que o LinkedIn disse

Questionado pelo BleepingComputer, o LinkedIn confirmou a prática. A justificativa oficial: “Para proteger a privacidade dos nossos membros, seus dados e garantir a estabilidade do site, verificamos extensões que raspam dados sem consentimento dos membros ou que violam os Termos de Serviço do LinkedIn.”

A empresa também afirmou que “não usa esses dados para inferir informações sensíveis sobre os membros”. O BrowserGate argumenta que a própria coleta já constitui processamento de dados de categoria especial sob o GDPR, a lei europeia de proteção de dados, independentemente do que o LinkedIn faz com eles depois.

As implicações legais

Uma ação judicial já foi protocolada no Tribunal Regional de Munique contra o LinkedIn Ireland e o LinkedIn Germany. O escritório Glade Michel Wirtz, que cuida do caso, é o mesmo que venceu a primeira ação privada da história baseada na Lei de Mercados Digitais (DMA) da União Europeia.

O relatório aponta possíveis violações do artigo 9 do GDPR (processamento de dados de categoria especial como saúde, religião e política sem consentimento explícito), da diretiva de cookies europeia (instalação sem permissão via iframe da HUMAN Security) e da própria DMA. Um detalhe técnico chamou atenção: a API interna do LinkedIn (chamada Voyager) processa 163 mil requisições por segundo, mas não aparece no relatório de conformidade de 249 páginas que a Microsoft enviou à União Europeia.

Quem lembra do vazamento que expôs 17,5 milhões de usuários do Instagram sabe que esses números não ficam bonitos no tribunal. E o LinkedIn tem mais de 1 bilhão de usuários.

Como se proteger

Se você usa Chrome ou qualquer navegador baseado em Chromium (Edge, Brave, Opera, Vivaldi), o script do LinkedIn pode te atingir. A verificação funciona checando o user agent do navegador, então trocar pra Firefox ou Safari já corta o escaneamento na raiz.

Pra quem quer manter o Chrome, bloquear os domínios li/track e /platform-telemetry/ via Pi-hole, NextDNS ou extensões de bloqueio funciona. O próprio BrowserGate lançou uma extensão no Chrome que detecta quando o escaneamento é executado na sua máquina.

A parte mais incômoda de tudo isso não é técnica. É o fato de que o LinkedIn é, pra muita gente, uma ferramenta obrigatória. Não dá pra simplesmente deletar a conta e seguir a vida, como dá pra fazer com a maioria das redes sociais. Você precisa do LinkedIn pra procurar emprego, fazer contato profissional, manter o currículo visível. E enquanto você faz isso, a plataforma monta um perfil do seu dispositivo, sabe suas extensões de busca de emprego e mapeia sua saúde, religião e política. É o custo real de um serviço “gratuito”.