Nguồn: 404privacy.com
Tóm tắt
LinkedIn đang silently scan danh sách browser extension đã cài đặt của người dùng — không chỉ kiểm tra vài extension phổ biến, mà 6.278 extension tính đến tháng 4/2026. Danh sách này bắt đầu từ năm 2017 với 38 entry và đã được mở rộng liên tục bằng automated tooling crawl Chrome Web Store, parse manifest để lấy web-accessible resources, và thêm vào list.
Kỹ thuật sử dụng là browser fingerprinting: LinkedIn inject script kiểm tra sự tồn tại của web-accessible resources từ từng extension. Mỗi 404 error trong console tương ứng với một extension không được cài, và ngược lại. Kết quả được encrypt và gửi kèm mọi request. Điều đặc biệt nguy hiểm là LinkedIn không làm điều này với anonymous visitors — đây là profiling người dùng đã xác thực danh tính thật với tên, công ty, chức vụ, và lịch sử nghề nghiệp.
Hàng trăm job-search extension nằm trong scan list, nghĩa là LinkedIn biết ai đang tìm việc mới trước khi họ thông báo. Extension liên quan đến political content, tôn giáo, disability accommodation, và neurodivergence cũng trong danh sách — dữ liệu này được append vào professional identity profile mà không có disclosure hay consent. Người dùng có thể vô tình tiết lộ internal tooling và security products của employer thông qua extension inventory.
Không có điều nào trong số này được đề cập trong privacy policy của LinkedIn. Dưới lời khai trong vụ kiện, LinkedIn xác nhận đã “take action against users who had specific extensions installed” — sử dụng kết quả scan để ra quyết định về tài khoản người dùng.