🔍LinkedIn escaneia seu computador em segredo e envia dados pra terceiros
Um pesquisador de segurança revelou que o LinkedIn roda um código oculto toda vez que você acessa o site. Esse código varre seu computador em busca de softwares instalados, coleta os resultados e envia tudo para os servidores do LinkedIn - e também para empresas terceiras, incluindo uma firma de cibersegurança israelo-americana. --- Estamos falando de um site com mais de 1 bilhão de usuários. Nenhum pedido de permissão, nenhum aviso. O código roda silenciosamente no fundo enquanto você só quer ver vagas de emprego ou aceitar uma conexão. --- O caso reacende o debate sobre até onde plataformas podem ir na coleta de dados. Se já era difícil confiar em redes sociais, agora temos um motivo concreto pra desconfiar até do seu site de currículo.
Every time any of LinkedIn's one billion users visits LinkedIn, hidden code searches their computer for installed software, collects the results, and transmits them to LinkedIn's servers and to third-party companies including an American-Israeli cybersecurity firm.
— @evilsocket View on X
O LinkedIn executa scripts de browser fingerprinting que identificam softwares instalados no computador do usuário e transmitem esses dados a servidores próprios e empresas terceiras, incluindo uma firma de cibersegurança israelo-americana. A descoberta, publicada pelo pesquisador de segurança @evilsocket, indica que a prática atinge aproximadamente um bilhão de usuários sem solicitar permissão explícita ou exibir avisos claros durante a navegação.
Como funciona a varredura técnica
O código em questão utiliza técnicas de device fingerprinting através de JavaScript executado no navegador. Ao contrário de cookies tradicionais ou pixels de rastreamento, este método explora APIs do browser para detectar aplicações locais, versões de software e configurações de sistema.
- O script executa automaticamente em cada visita ao domínio
- Coleta identificadores de programas instalados no nível do sistema operacional
- Transmite dados criptografados para infraestrutura do LinkedIn e endpoints de terceiros
- Opera silenciosamente sem interface visível ao usuário
Para desenvolvedores e profissionais de tecnologia, essa abordagem representa uma camada adicional de exposição além do rastreamento comportamental convencional.
Implicações para builders e ambientes corporativos
A coleta agressiva de dados de endpoint cria vetores de segurança significativos. Em ambientes corporativos brasileiros, a exposição da toolchain de desenvolvimento — incluindo IDEs específicas, ferramentas de DevOps ou softwares de segurança — pode facilitar reconhecimento de perfis técnicos e engenharia social direcionada.
Sob a LGPD, a prática levanta questões sobre base legal para tratamento de dados sensíveis de configuração de sistema. Empresas que utilizam o LinkedIn para recrutamento ou marketing B2B precisam avaliar se essa coleta infringe políticas internas de endpoint security ou compliance.
Mitigação e alternativas
Desenvolvedores podem bloquear essa coleta através de:
- Containers de browser isolados para acesso ao LinkedIn
- Extensões como NoScript ou uBlock Origin que impedem execução de scripts de fingerprinting
- Navegadores hardened com resistência a fingerprinting (Firefox com arkenfox user.js, Brave)
- Uso de máquinas virtuais para acessar redes sociais profissionais
O caso reforça a necessidade de auditoria contínua de scripts de terceiros em plataformas SaaS, mesmo aquelas consideradas enterprise-grade. Para profissionais que manipulam código proprietário ou acessam ambientes sensíveis, o isolamento do browser não é mais precaução excessiva, mas controle básico de hygiene digital.