LinkedIn se confruntă cu două procese din cauza practicii sale de a scana browserele utilizatorilor pentru a determina ce extensii rulează. Două plângeri colective au fost depuse de firme de avocatură diferite în numele unor reclamanți diferiți, luni, la Curtea Districtuală a SUA pentru Districtul de Nord al Californiei. Fiecare plângere are un reclamant nominalizat și urmărește să reprezinte o clasă propusă care include toți utilizatorii LinkedIn din SUA.
Se pare că plângerile se bazează în mare măsură pe raportul recent „BrowserGate” al unei entități germane numite Fairlinked, care se descrie ca o asociație comercială și un grup de advocacy pentru utilizatorii comerciali LinkedIn. Se pare că Fairlinked este condusă de aceiași oameni din spatele Teamfluence, o companie de software estoniană care a dat în judecată LinkedIn la Munchen în ianuarie. LinkedIn spune că Teamfluence a distribuit o extensie de browser care a extras datele utilizatorilor LinkedIn încălcând acordul de utilizare și că conturile sale LinkedIn au fost suspendate.
LinkedIn, o filială a Microsoft, nu neagă că scanează browserele pentru a identifica extensiile. Există o dispută cu privire la faptul dacă LinkedIn dezvăluie în mod adecvat scanarea și modul în care utilizează informațiile pe care le colectează. LinkedIn spune că caută extensii care încalcă termenii săi prin extragerea datelor utilizatorilor fără consimțământ. Scanarea este efectuată pe Google Chrome și pe browserele bazate pe Chromium, cum ar fi Microsoft Edge.
Politica de confidențialitate a LinkedIn dezvăluie că compania utilizează cookie-uri și tehnologii similare pentru a colecta informații despre „browserul web și add-on-urile” fiecărui utilizator. LinkedIn recunoaște colectarea acestor date împreună cu alte informații despre rețeaua și dispozitivul utilizatorului, cum ar fi adresa IP și sistemul de operare. Referința „add-on-uri” din politica de confidențialitate a LinkedIn pare să se refere la extensiile de browser, deoarece cele două cuvinte sunt adesea folosite interschimbabil.
Raportul BrowserGate și cele două procese intentate săptămâna aceasta susțin că dezvăluirea politicii de confidențialitate nu este suficient de extinsă. „Reclamantul și membrii clasei aveau o așteptare obiectiv rezonabilă de confidențialitate, deoarece, spre deosebire de alte forme de urmărire, pârâtul nu dezvăluie în politica sa de confidențialitate sau în altă parte că urmărește extensiile browserului utilizatorilor sau că dezvăluie date despre acele extensii unor terțe părți”, a spus un proces al cărui reclamant nominalizat este rezidentul din California, Nicholas Farrell. Celălalt proces susține că „LinkedIn a depășit limita folosind justificări anti-abuz ca acoperire pentru o supraveghere masivă secretă a browserelor la scară globală, care a depășit cu mult atât necesitatea, cât și orice iterație a consimțământului”. Reclamantul nominalizat al procesului este rezidentul din California, Jeff Ganan.
LinkedIn spune că acuzațiile provin din disputa sa cu Teamfluence, care vinde ceea ce numește un „radar” LinkedIn care colectează automat informații despre interacțiunile de pe site-ul LinkedIn. Teamfluence oferă o extensie Chrome. „Aceasta este o casă de cărți construită în întregime pe o fabricație”, a spus LinkedIn într-o declarație furnizată către Ars și alte instituții media. „Dezvăluim că scanăm extensiile de browser în politica noastră de confidențialitate, pentru a detecta abuzurile și pentru a oferi apărare pentru stabilitatea site-ului.”
Raportul BrowserGate al Fairlinked a susținut că „LinkedIn caută ilegal pe computerul dvs.” și că „Microsoft conduce una dintre cele mai mari operațiuni de spionaj corporativ din istoria modernă.”
Fairlinked spune că LinkedIn folosește „un program JavaScript ascuns” pentru a scana browserele pentru prezența a 6.222 de extensii. Aceasta include scanarea „pentru fiecare concurent major al propriilor produse Microsoft – Salesforce, HubSpot, Pipedrive – construind informații la nivel de companie cu privire la ce companii folosesc ce software”, spune acesta. „Deoarece LinkedIn știe numele, angajatorul și rolul dvs., fiecare scanare se adună într-un profil tehnologic corporativ asamblat fără cunoștința nimănui.”
Argumentul Fairlinked că LinkedIn colectează informații personale se bazează pe faptul că extensiile pe care le detectează includ „un filtru de conținut islamic”, un „tagger politic anti-sionist” și „un instrument conceput pentru utilizatorii neurodivergenți”. Fairlinked susține că căutarea acestor extensii pe dispozitivele utilizatorilor echivalează cu „procesarea datelor care dezvăluie credințe religioase, opinii politice sau condiții de sănătate” și că acest lucru necesită consimțământ explicit în conformitate cu legislația UE.
„De fiecare dată când oricare dintre cei un miliard de utilizatori LinkedIn vizitează linkedin.com, codul ascuns caută pe computerul lor software-ul instalat, colectează rezultatele și le transmite serverelor LinkedIn și companiilor terțe, inclusiv unei firme americane-israeliene de securitate cibernetică”, a spus raportul. . „Utilizatorul nu este niciodată întrebat. Nu este niciodată spus. Politica de confidențialitate LinkedIn nu menționează asta.”
Dovada Fairlinked că LinkedIn transmite date către firme terțe include prezența unui iframe ascuns de la firma americană-israeliană Human Security, care oferă tehnologie pentru detectarea și blocarea roboților. Fairlinked citează, de asemenea, utilizarea de către LinkedIn a unui script de amprentare a dispozitivelor, dar scriptul este asociat cu o adresă URL LinkedIn, mai degrabă decât cu un site web terță parte. Fairlinked subliniază, de asemenea, utilizarea reCAPTCHA de către Google, un serviciu utilizat pe scară largă conceput pentru a detecta și proteja împotriva roboților.
Procesul Ganan a spus că „LinkedIn nu a dezvăluit rolul terților implicați în această extracție de date – nici ce ar putea sau ar face acele părți sau subprocesatorii sau clienții lor cu acele date.”
Un purtător de cuvânt LinkedIn a arătat astăzi Ars către o postare Hacker News de săptămâna trecută în care compania a răspuns acuzațiilor BrowserGate. LinkedIn a spus:
Afirmațiile făcute pe site-ul web [BrowserGate] legate aici sunt pur și simplu greșite. Persoana din spatele lor este supusă unei restricții de cont pentru scraping și alte încălcări ale Termenilor de serviciu LinkedIn. Pentru a proteja confidențialitatea membrilor noștri, datele acestora și pentru a asigura stabilitatea site-ului, căutăm extensii care extrag date fără consimțământul membrilor sau încalcă în alt mod Termenii de serviciu LinkedIn.
Postarea LinkedIn pe Hacker News a spus că caută extensii care „au resurse statice (imagini, javascript) disponibile pentru a injecta în paginile noastre web... Folosim aceste date pentru a determina ce extensii ne încalcă termenii, pentru a informa și a ne îmbunătăți apărarea tehnică și pentru a înțelege de ce un cont de membru ar putea prelua o cantitate inordinată de date ale altor membri, care, la scară largă, afectează stabilitatea site-ului. Nu folosim aceste date pentru a deduce informații sensibile despre membri.”
Avocata LinkedIn, Sarah Wright, vicepreședinte al companiei, a scris ieri că „Teamfluence distribuia o extensie de browser care a extras datele membrilor de pe LinkedIn fără știrea sau consimțământul membrilor noștri”, încălcând acordul de utilizare al LinkedIn. „Ca represalii pentru suspendarea conturilor lor, în ianuarie, creatorul Teamfluence a solicitat o injuncție împotriva LinkedIn în Germania, cerând restabilirea conturilor lor și susținând că aplicarea de către LinkedIn a Acordului său de utilizare a încălcat diverse legi UE.”
Wright afirmă că „instanța a respins temeinic pretențiile Teamfluence, reafirmând capacitatea LinkedIn de a acționa rapid și decisiv împotriva actorilor răi care accesează datele membrilor în mod necorespunzător. Judecătorul nu numai că a decis în favoarea noastră, dar a constatat și că Teamfluence însuși încalcă legile privind protecția datelor, iar LinkedIn are dreptul să-și protejeze membrii.”
Am contactat Teamfluence astăzi și vom actualiza acest articol dacă oferă un răspuns. „Din păcate, acesta este un caz al unui individ care a pierdut în instanța de judecată, dar încearcă să se judece din nou în curtea opiniei publice, fără a ține cont de acuratețe”, a spus LinkedIn.
Nu este neobișnuit ca avocații să depună acțiuni colective la scurt timp după ce afirmații explozive sunt făcute de mass-media sau de grupuri de advocacy. Procesul Farrell împotriva LinkedIn citează pe larg raportul BrowserGate și descrie Fairlinked ca pe un „grup european de advocacy” fără a menționa legăturile sale cu Teamfluence. Am contactat avocații care au depus procesul și vom actualiza acest articol dacă primim un răspuns.
Procesul Ganan nu menționează raportul BrowserGate, dar face acuzații similare. J.R. Howell, avocatul din Santa Monica care a depus plângerea, a declarat astăzi pentru Ars că acuzațiile procesului „s-au bazat pe propria analiză și revizuire a firmei a codului de partea clientului LinkedIn și a comportamentului tehnic aferent, precum și a cadrului legal aplicabil al SUA și al Californiei.”
Howell a declarat pentru Ars că răspunsul LinkedIn la afirmații nu respinge acuzația centrală cu privire la lipsa consimțământului. „Răspunsul public al LinkedIn nu neagă în mod semnificativ conduita principală invocată în plângere”, a declarat Howell pentru Ars. „Întrebarea reală nu este dacă LinkedIn spune că a luptat împotriva abuzului termenilor de serviciu. Întrebarea este dacă utilizatorii au fost informați efectiv, în vreun mod clar și semnificativ, că LinkedIn le va sonda în secret browserele pentru extensiile instalate, va extrage date legate de sesiune și va face acele date disponibile unor terțe părți nedezvăluite, ale căror utilizări proprii s-ar putea extinde dincolo de o verificare de conformitate unică.”
Howell susține că un „utilizator rezonabil nu consimte la supravegherea în masă a browserului și la exploatarea datelor de către terți prin referiri vagi la securitate, cookie-uri, add-on-uri sau prevenirea abuzurilor.”
Ambele procese susțin că LinkedIn a încălcat protecția Constituției Californiei împotriva invadării vieții private și Legea cuprinzătoare privind accesul și frauda la date informatice din California. Procesul Ganan susține, de asemenea, că LinkedIn a încălcat Legea federală privind confidențialitatea comunicațiilor electronice. Ambele procese solicită despăgubiri financiare și o injuncție care să oblige compania să își schimbe practicile de colectare și dezvăluire a datelor.