Yeni bir 'BrowserGate' güvenlik raporuna göre LinkedIn sizi gözetliyor

LinkedIn’in Tarayıcı Parmak İzi Alma Uygulaması ve Veri Etiği Tartışması

Dijital çağda gizlilik, artık yalnızca kullanıcı tercihleriyle değil, arka planda çalışan kodlarla da şekilleniyor. Fairlinked eV tarafından hazırlanan ve BleepingComputer tarafından doğrulanan rapor, LinkedIn’in her sayfa yüklemesinde ziyaretçilerin tarayıcılarında yüklü 6.236 Chrome uzantısını araştıran bir JavaScript komut dosyası kullandığını ortaya koydu.
Bu komut dosyası, yalnızca uzantıları değil; CPU çekirdek sayısı, bellek miktarı, ekran çözünürlüğü, saat dilimi, dil ayarları ve pil durumu gibi ayrıntılı cihaz telemetrisini de topluyor. Bulgular, dijital gizlilik alanında yeni bir tartışma başlattı: “Kullanıcı koruması mı, veri gözetimi mi?”

Teknik Arka Plan: Parmak İzi Alma Nasıl Çalışıyor?

Fairlinked’in “BrowserGate” raporuna göre, LinkedIn’in kullandığı komut dosyası, Chromium tabanlı tarayıcılarda uzantıların varlığını tespit etmek için uzantı kimlikleriyle bağlantılı dosya kaynaklarına erişmeye çalışıyor.
Bu teknik, tarayıcı parmak izi oluşturmanın bilinen bir yöntemi. Her cihazın donanım ve yazılım özellikleri benzersiz bir profil oluşturur; bu profil, kullanıcıyı çerez olmadan tanımlamaya olanak tanır.

GitHub verilerine göre:

• 2025’te taranan uzantı sayısı: ~2.000
• 2026 Şubat’ında: ~3.000
• Güncel sayı: 6.236

Bu artış, LinkedIn’in veri toplama kapsamını hızla genişlettiğini gösteriyor.

Hedeflenen Uzantılar: Rekabetin Dijital İzleri

Fairlinked raporu, taranan uzantıların çoğunun LinkedIn’in doğrudan rakipleriyle ilişkili olduğunu belirtiyor. Bunlar arasında:

• Apollo, Lusha, ZoomInfo gibi satış istihbaratı araçları
• Dil ve gramer uzantıları
• Vergi uzmanlarına yönelik profesyonel araçlar

Toplamda 200’den fazla rakip ürünün izlenmesi, bu uygulamanın yalnızca güvenlik değil, rekabet analizi amacı taşıyabileceği yönünde endişeleri artırıyor.

Veri Toplama Boyutu: Donanım ve Yazılım Telemetrisi

Komut dosyası, uzantıların ötesinde cihazın teknik özelliklerini de topluyor:

• İşlemci sınıfı
• Bellek kapasitesi
• Ekran boyutu ve çözünürlük
• Saat dilimi farkı
• Pil durumu
• Depolama kapasitesi

Bu veriler, benzersiz cihaz profilleri oluşturmak için kullanılıyor. LinkedIn hesaplarının gerçek kimliklerle bağlantılı olması, bu profillerin bireylerle doğrudan eşleştirilebilme riskini doğuruyor.

Veri Paylaşımı İddiası: HUMAN Security Bağlantısı

Fairlinked raporu, toplanan verilerin Amerikan-İsrail siber güvenlik firması HUMAN Security’ye iletildiğini iddia ediyor. Bu iddia bağımsız olarak doğrulanmamış olsa da, üçüncü taraf veri paylaşımı olasılığı gizlilik zincirinde yeni bir kırılma noktası anlamına geliyor.

LinkedIn’in Yanıtı: Güvenlik mi, Gözetim mi?

LinkedIn, BleepingComputer’a yaptığı açıklamada, taramanın “veri kazıyan veya hizmet şartlarını ihlal eden eklentileri tespit etmek” amacıyla yapıldığını belirtti.
Şirket, verilerin “üyeler hakkında hassas bilgiler çıkarmak” için kullanılmadığını vurguladı.
Ancak Fairlinked raporunun, LinkedIn tarafından kısıtlanan bir kullanıcının hazırladığı iddiası, tartışmanın tarafsızlık boyutunu karmaşık hale getiriyor.

Bir Alman mahkemesi, LinkedIn’in otomatik veri toplama yapan hesapları engelleme hakkına sahip olduğuna hükmetti. Bu karar, platformun yasal zeminde güçlü bir savunmaya sahip olduğunu gösteriyor.

Tarihsel Bağlam: eBay ve Bankaların Benzer Uygulamaları

LinkedIn, agresif istemci tarafı parmak izi alma yöntemini kullanan ilk büyük platform değil.

• 2021’de eBay, ziyaretçilerin cihazlarında uzaktan erişim yazılımlarını tespit etmek için JavaScript tabanlı port taraması yapmıştı.
• Aynı komut dosyası daha sonra Citibank, TD Bank ve Equifax sitelerinde de tespit edildi.

Bu örnekler, kurumsal güvenlik ile kullanıcı gizliliği arasındaki çizginin giderek bulanıklaştığını gösteriyor.

Etik ve Hukuki Değerlendirme

LinkedIn’in uygulaması, iki temel soruyu gündeme getiriyor:

1. Amaç meşru olsa bile yöntem etik mi?
   Veri kazıma önleme gerekçesi, kullanıcı izni olmadan yapılan taramayı haklı çıkarabilir mi?
2. Kullanıcı bilgilendirmesi yeterli mi?
   Gizlilik politikalarında bu tür tekniklerin açıkça belirtilmemesi, şeffaflık ilkesini zedeliyor.

Avrupa Birliği’nin GDPR yasaları, kullanıcı verilerinin açık rıza olmadan toplanmasını yasaklıyor. Bu nedenle LinkedIn’in uygulaması, AB veri koruma otoriteleri tarafından incelemeye alınabilir.

Sonuç olarak: Gizlilik Çağında Güvenin Yeniden Tanımı

LinkedIn’in parmak izi alma uygulaması, dijital platformların güvenlik ile gizlilik arasındaki dengeyi nasıl kuracağına dair önemli bir örnek oluşturuyor.
Kullanıcı verilerinin korunması, yalnızca teknik önlemlerle değil, etik şeffaflıkla da sağlanmalı.
Bu olay, dijital dünyada “gizlilik” kavramının artık yalnızca verilerin değil, davranışların da izlenebilir hale geldiği bir döneme girdiğimizi gösteriyor.