C’è chi l’ha già battezzato BrowserGate e potrebbe essere in effetti uno degli scandali di sorveglianza digitale più grandi mai documentati nel mondo corporate. Al centro c’è LinkedIn, la piattaforma di Microsoft frequentata da oltre 400 milioni di professionisti nel mondo, accusata di scansionare silenziosamente i browser degli utenti per raccogliere dati sulle estensioni installate senza consenso esplicito, senza disclosure nella privacy policy e, potenzialmente, condividendo il tutto con terze parti.

L’accusa proviene da Fairlinked e.V., un’associazione tedesca che rappresenta utenti commerciali di LinkedIn, che ha pubblicato un rapporto dettagliato nell’ambito di una campagna pubblica chiamata appunto BrowserGate. Secondo l’indagine, LinkedIn inietta codice JavaScript nelle proprie pagine web che verifica la presenza di oltre 6.000 estensioni del browser attraverso i loro identificatori univoci. I risultati vengono cifrati e trasmessi ai server di LinkedIn, che li condividerebbe anche con HUMAN Security, una società di cybersecurity americano-israeliana.

Il punto più delicato della vicenda riguarda la natura dei dati raccolti. Alcune delle estensioni che LinkedIn scansionerebbe possono infatti rivelare informazioni altamente personali come strumenti pensati per utenti musulmani praticanti, estensioni legate all’orientamento politico e applicazioni per persone neurodivergenti. Fairlinked segnala inoltre più di 500 strumenti di ricerca lavoro tra quelli monitorati, il che significa che LinkedIn potrebbe teoricamente sapere chi sta cercando un nuovo impiego, anche quando quell’utente tiene il proprio profilo pubblico visibile al datore di lavoro attuale.

In base al GDPR, il trattamento di categorie di dati così sensibili richiede il consenso esplicito dell’interessato. Fairlinked sostiene che LinkedIn non ottenga tale consenso e non menzioni questa pratica nella propria informativa sulla privacy, configurando una potenziale violazione della normativa europea che interessa centinaia di milioni di persone.

Il collegamento con HUMAN Security e Unit 8200

27707-linkedin-1007071

Il rapporto introduce un ulteriore elemento di complessità quando si sofferma sull’identità del destinatario dei dati raccolti. HUMAN Security, fondata nel 2012 a Brooklyn con il nome White Ops, opera nei settori della sicurezza media e enterprise con un fatturato annuo stimato intorno ai 100 milioni di dollari. Nel 2022, l’azienda si è fusa con PerimeterX, società israeliana fondata da ex ufficiali dell’Unità 8200, la divisione di cyber warfare delle forze armate israeliane nota per le sue capacità di intelligence digitale.

Fairlinked non accusa direttamente HUMAN Security di attività illecite, ma il collegamento tra dati raccolti su professionisti identificabili per nome, azienda e ruolo lavorativo e una società con radici nell’intelligence militare israeliana è sufficiente ad alimentare preoccupazioni concrete sul destino finale di queste informazioni.

La risposta di LinkedIn

LinkedIn ha respinto le accuse con decisione, definendole inaccurate. In un intervento su Hacker News, un rappresentante dell’azienda ha spiegato che la rilevazione delle estensioni avviene attraverso un meccanismo tecnico legittimo, per il quale alcune estensioni iniettano risorse statiche (immagini e file JavaScript) nelle pagine web, e LinkedIn verifica semplicemente se tali risorse siano presenti. Una pratica che, secondo l’azienda, ha precisa finalità difensive volte a individuare estensioni che violano i termini di servizio, proteggere la stabilità della piattaforma e rilevare comportamenti anomali legati allo scraping massivo dei dati.

“Non utilizziamo questi dati per inferire informazioni sensibili sugli utenti”, ha dichiarato il portavoce. LinkedIn ha anche rivelato che il soggetto dietro la campagna BrowserGate aveva visto il proprio account limitato per attività di scraping e che un successivo tentativo di ottenere un’ingiunzione in Germania era stato respinto dal tribunale, che aveva giudicato le accuse prive di fondamento e ritenuto le pratiche del ricorrente non conformi agli standard legali.

A ben vedere entrambe le narrative reggono parzialmente. La spiegazione tecnica di LinkedIn è plausibile, considerando che la rilevazione di risorse statiche iniettate da estensioni è una tecnica nota e utilizzata anche in contesti di sicurezza legittimi. Allo stesso tempo, la scansione sistematica di oltre 6.000 estensioni, la cifratura dei risultati e la trasmissione a server esterni (incluse terze parti) rimane una pratica che, nella sua architettura complessiva, solleva interrogativi di trasparenza difficili da liquidare con una sola dichiarazione aziendale.

Il fatto che un tribunale tedesco abbia rigettato le richieste di Fairlinked non equivale a una certificazione di conformità al GDPR su tutti i fronti, tanto che le autorità europee per la protezione dei dati potrebbero ancora decidere di aprire un’istruttoria indipendente. Nel frattempo, per 405 milioni di utenti identificabili per nome e professione, la questione rimane aperta.