LinkedIn Diduga Pantau 6.000 Ekstensi, Data Pengguna Terancam

Isu privasi digital kembali mencuat setelah muncul laporan terbaru bertajuk “BrowserGate” yang menyoroti dugaan praktik tersembunyi oleh LinkedIn. Platform jejaring profesional milik Microsoft ini disebut menggunakan skrip khusus untuk memindai browser pengguna dan mengumpulkan berbagai data tanpa sepengetahuan mereka.

Laporan tersebut diterbitkan oleh Fairlinked e.V., yang mengklaim bahwa LinkedIn menyisipkan kode JavaScript tersembunyi ke dalam sesi pengguna. Kode ini berfungsi untuk mendeteksi ribuan ekstensi yang terpasang di browser, lalu mengaitkannya dengan profil pengguna yang dapat diidentifikasi secara langsung.

Temuan ini memicu kekhawatiran serius, mengingat LinkedIn merupakan platform yang berisi data profesional pengguna, termasuk identitas asli, riwayat pekerjaan, hingga posisi jabatan. Dengan kombinasi data tersebut, informasi yang dikumpulkan dinilai berpotensi sangat sensitif, baik bagi individu maupun perusahaan.

Dalam laporan itu disebutkan bahwa LinkedIn bahkan memindai lebih dari 200 produk yang merupakan pesaing langsung layanan bisnis mereka. Beberapa di antaranya adalah Apollo, Lusha, dan ZoomInfo. Dengan mengetahui ekstensi apa yang digunakan oleh pengguna dari perusahaan tertentu, LinkedIn dinilai mampu memetakan penggunaan produk pesaing di berbagai perusahaan.

Praktik ini disebut-sebut memungkinkan LinkedIn memperoleh wawasan mengenai pelanggan perusahaan lain tanpa persetujuan langsung. Bahkan, laporan tersebut menuding bahwa data yang diperoleh digunakan untuk mengirim peringatan atau ancaman kepada pengguna yang memanfaatkan alat pihak ketiga tertentu.

Sebagian dari temuan ini telah diverifikasi oleh media keamanan siber BleepingComputer. Dalam pengujiannya, mereka menemukan adanya file JavaScript dengan nama acak yang dijalankan oleh situs LinkedIn. Skrip tersebut mencoba mengakses sumber daya tertentu yang terkait dengan ID ekstensi browser—sebuah metode umum untuk mengetahui apakah ekstensi tersebut terpasang.

Hasil pengujian menunjukkan bahwa skrip ini mampu mendeteksi hingga 6.236 ekstensi. Jumlah ini meningkat signifikan dibandingkan laporan sebelumnya pada 2025 yang hanya mencakup sekitar 2.000 ekstensi. Bahkan, dalam beberapa bulan terakhir, jumlah tersebut sempat tercatat di angka 3.000, menandakan adanya peningkatan terus-menerus dalam cakupan pemindaian.

Menariknya, ekstensi yang dideteksi tidak hanya berkaitan dengan layanan LinkedIn. Skrip tersebut juga memindai ekstensi lain seperti alat pengecek tata bahasa, perangkat untuk profesional pajak, hingga fitur yang tampaknya tidak relevan dengan fungsi utama platform. Hal ini semakin memperkuat dugaan bahwa pengumpulan data dilakukan secara luas.

Tak hanya itu, skrip tersebut juga mengumpulkan berbagai informasi teknis dari perangkat pengguna, seperti jumlah inti prosesor (CPU), kapasitas memori, resolusi layar, zona waktu, bahasa sistem, status baterai, hingga informasi audio dan penyimpanan. Data ini umumnya digunakan dalam teknik yang dikenal sebagai fingerprinting—cara untuk membuat “sidik jari digital” unik dari setiap perangkat.

Meski demikian, BleepingComputer menyatakan bahwa mereka belum dapat memastikan bagaimana data tersebut dimanfaatkan atau apakah dibagikan kepada pihak ketiga. Namun, dalam praktiknya, teknik fingerprinting sering digunakan untuk melacak aktivitas pengguna di berbagai situs web tanpa bergantung pada cookie.

Menanggapi tuduhan ini, LinkedIn tidak menyangkal adanya deteksi terhadap ekstensi browser. Namun, perusahaan menegaskan bahwa langkah tersebut dilakukan demi menjaga keamanan platform dan melindungi pengguna dari potensi penyalahgunaan.

LinkedIn juga menyebut bahwa laporan BrowserGate berasal dari pihak yang memiliki konflik dengan perusahaan. Disebutkan bahwa sumber laporan terkait dengan pengembang ekstensi bernama Teamfluence, yang sebelumnya dibatasi karena dianggap melanggar kebijakan penggunaan platform.

Dalam dokumen hukum yang dilansir dari BleepingComputer, pengadilan di Jerman menolak permintaan pengembang tersebut untuk mendapatkan perlindungan hukum sementara. Pengadilan menilai bahwa tindakan LinkedIn tidak melanggar hukum, dan perusahaan berhak mengambil langkah untuk melindungi sistemnya, termasuk memblokir akun yang dianggap melanggar aturan.

LinkedIn pun berpendapat bahwa laporan tersebut merupakan upaya untuk membuka kembali sengketa yang sudah diproses secara hukum ke ruang publik.

Terlepas dari perdebatan tersebut, satu fakta yang tidak terbantahkan adalah bahwa LinkedIn memang menggunakan teknologi fingerprinting yang cukup agresif. Teknik ini bukan hal baru di dunia digital. Pada 2021, eBay diketahui menggunakan metode serupa untuk mendeteksi perangkat yang berpotensi digunakan dalam aktivitas penipuan.

Selain eBay, sejumlah perusahaan besar lainnya juga pernah dilaporkan menggunakan teknik fingerprinting, termasuk Citibank, TD Bank, Ameriprise, Chick-fil-A, Lendup, Beachbody, Equifax, TIAA, Sky, Gumtree, dan WePay.

Kasus ini kembali mengingatkan pentingnya transparansi dalam pengelolaan data pengguna. Di tengah meningkatnya kesadaran akan privasi digital, praktik pengumpulan data—terutama yang dilakukan tanpa penjelasan yang jelas—berpotensi menimbulkan ketidakpercayaan publik terhadap platform teknologi besar.