Růst počtu sledovaných rozšíření (tj. pluginů v prohlížeči) v čase:
Rok / Datum
Počet sledovaných rozšíření
2017
38
2024
~461
Květen 2025
~1 000
Prosinec 2025
5 459
Únor 2026
6 167
Mezi prosincem 2025 a únorem 2026 přidal LinkedIn do seznamu 708 nových rozšíření – průměrně 12 denně. Systém se aktivně rozvíjí.
Jako recruiter specializující se na AI a technologický sektor jsem zvyklý pracovat s daty. Ale data, která LinkedIn sbírá o mně - a o vás - bez vědomí kohokoli z nás, mě přiměla zastavit se a zeptat se: Víme vůbec, co se na té platformě děje pod povrchem?
Odpověď, kterou přinesla investigace sdružení Fairlinked e.V. pod názvem BrowserGate, je znepokojivá. A pro recruitment profesionály má velmi konkrétní dopady.
Co je BrowserGate?
BrowserGate je název investigace, která odhalila, že LinkedIn - platforma s více než miliardou uživatelů, vlastněná Microsoftem - systematicky skenuje prohlížeče svých návštěvníků. Pokaždé, když otevřete LinkedIn v prohlížeči postaveném na Chromiu (Chrome, Edge, Brave, Opera, Arc), spustí se na pozadí skrytý kód, který:
-
prohledá všechna vaše nainstalovaná rozšíření prohlížeče (to jsme věděli, ale ten rozsah sledovaných rozšíření se rapidně zvýšil),
-
výsledky zašifruje a odešle na servery LinkedInu,
-
data předá i třetím stranám, včetně americko-izraelské kybernetické firmy HUMAN Security (dříve PerimeterX).
Jak to technicky funguje?
Výzkumníci z Fairlinked detailně zdokumentovali celý mechanismus přímo z produkčního JavaScript kódu LinkedInu. Systém se skládá ze tří vzájemně propojených vrstev:
1. Aktivní detekce rozšíření (AED)
LinkedIn má v jednom ze svých JavaScript souborů (tzv. Webpack chunk.905, modul 75023) zabudovaný pevně zakódovaný seznam tisíců rozšíření prohlížeče – v únoru 2026 jich bylo již 6 167. Ke každému rozšíření zná konkrétní soubor uvnitř jeho balíčku.
Systém postupně nebo paralelně odesílá požadavky na adresy ve tvaru chrome-extension://[ID rozšíření]/[soubor]. Pokud rozšíření existuje a je nainstalováno, požadavek se zdaří – a LinkedIn ví, co máte v prohlížeči. Celý proces probíhá bez jakékoli viditelné aktivity na obrazovce, nejčastěji v době, kdy prohlížeč "nic nedělá".
2. Pasivní DOM skenování (Spectroscopy)
Paralelně s aktivní detekcí LinkedIn prochází celý DOM strom stránky a hledá stopy po rozšířeních – injektovaný HTML kód, upravené atributy, reference na chrome-extension:// adresy. Tato metoda zachytí i rozšíření, která nejsou na seznamu, pokud zanechají jakoukoliv stopu v kódu stránky.
3. Komplexní otisk zařízení (APFC / DNA)
Skenování rozšíření je jen jednou z 48 charakteristik, které LinkedIn sbírá v rámci systému APFC (Anti-fraud Platform Features Collection). Mimo jiné sbírá:
-
lokální IP adresu přes WebRTC,
-
seznam připojených kamer, mikrofonů a reproduktorů,
-
canvas a WebGL otisk (jedinečné charakteristiky vašeho grafického čipu),
-
audio otisk, nainstalovaná písma, informace o baterii a síťovém připojení,
-
stav anonymního režimu prohlížeče,
-
a – s určitou mírou ironie – i vaše nastavení "Do Not Track".
Všechna tato data jsou před odesláním zašifrována RSA klíčem a LinkedIn je připojuje jako HTTP hlavičku ke každému dalšímu API volání během celé vaší návštěvy. Otisk je tedy přenášen opakovaně – ne jen jednou.
Proč by to mělo zajímat recruitery?
Toto skenování může technicky provozovat jakákoliv webová stránka – např. i váš web. Co je ale velký rozdíl: LinkedIn ví, kdo jste. Narozdíl od vašeho webu, kde je návštěvník výrazně více anonymní a neřekne vám jen tak, o koho se jedná. LinkedIn zná vaše jméno, zaměstnavatele a pracovní pozici a tuto reálnou identitu si přiřadí k té internetové. Skenování tedy neprobíhá anonymně – probíhá u identifikovaných lidí v identifikovaných firmách. To má tři zásadní dopady pro recruitment komunitu:
Odhalení citlivých dat kandidátů i recruiterů
Na seznamu skenovaných rozšíření se nachází 509 nástrojů pro hledání práce. Pokud má váš kandidát nainstalované takové rozšíření a přihlásí se na LinkedIn, LinkedIn to ví – a ví to dříve, než kandidát sám podnikne jakýkoli krok. Totéž platí pro rozšíření identifikující náboženské přesvědčení, politickou orientaci nebo neurodiverzitu. Pod evropským právem jde o zvláštní kategorii osobních údajů, jejichž zpracování bez souhlasu je zakázáno.
Korporátní špionáž ve světě HR technologií
LinkedIn skenuje přes 200 produktů, které přímo konkurují jeho vlastním nástrojům – Apollo, Lusha, ZoomInfo a dalším. Protože LinkedIn zná zaměstnavatele každého uživatele, dokáže sestavit přesný přehled o tom, které firmy používají které nástroje. Jinými slovy: LinkedIn mapuje zákaznické báze svých konkurentů – bez jejich vědomí a bez vědomí vaší firmy.
A nejde jen o sběr dat. LinkedIn již použil takto získané informace k zasílání právních výzev uživatelům třetích nástrojů. Pokud ve vaší firmě používáte jakýkoli nástroj pro práci s LinkedInem – scraper, rozšíření pro CRM, analytiku nebo automatizaci – LinkedIn o tom ví.
Klamání regulátorů v EU
V roce 2023 byl LinkedIn označen za regulovaného strážce (gatekeeper) podle Digital Markets Act a EU mu nařídila zpřístupnit platformu třetím nástrojům. Reakce LinkedInu? Zveřejnil dvě omezená API zvládající dohromady asi 0,07 volání za sekundu. Interní API Voyager přitom obsluhuje 163 000 volání za sekundu.
Důkaz přímo z pera Microsoftu: Oficiální 249stránková zpráva o souladu s DMA, kterou Microsoft předložil Evropské komisi (Microsoft Compliance Report – Annex 11 – LinkedIn, DMA.100017), používá slovo "API" celkem 533krát. Slovo "Voyager" – název interního API, které je páteří celé platformy - se v celém dokumentu nevyskytuje ani jednou. Tento dokument je veřejně dostupný a lze si ho stáhnout přímo z webu Microsoftu (odkaz v sekci Zdroje).
Ve stejnou dobu LinkedIn rozšiřoval seznam sledovaných nástrojů - z přibližně 461 produktů v roce 2024 na přes 6 000 v únoru 2026. EU řekla: "Vpusťte nástroje dovnitř." LinkedIn vybudoval surveillance systém, aby identifikoval každého, kdo tyto nástroje používá.
Je to opravdu nelegální?
Investigace Fairlinked tvrdí, že ano - a to ve všech jurisdikcích, které zkoumali. V prostředí EU jde o narušení GDPR hned v několika ohledech: zpracování citlivých kategorií dat bez právního základu, porušení zásady informovanosti a porušení pravidel přeshraničního přenosu dat. V USA byla podána skupinová žaloba. Celý zdrojový kód je přitom veřejně dostupný a ověřitelný - stačí otevřít vývojářské nástroje prohlížeče.
Co dělat teď?
Jako recruitment profesionál nebo HR manažer doporučuji přijmout tato opatření:
-
Informujte svůj právní a compliance tým. BrowserGate má potenciální dopad na data vaší firmy i vašich kandidátů.
-
Zmapujte, která rozšíření vaši rekruiteři používají. Zvažte, zda jejich používání na LinkedIn nepředstavuje bezpečnostní riziko.
-
Sledujte vývoj situace. V USA již probíhá skupinová žaloba, EU regulátoři jsou informováni. Dopad může být zásadní.
-
Vzdělávejte kandidáty. Pokud pracujete v HR nebo talent acquisition, máte odpovědnost upozornit lidi, se kterými pracujete.
-
Zvažte alternativní prohlížeče nebo profily bez pracovních rozšíření pro přihlášení do LinkedInu.
Jak to ověřit sami - přímo ve svém prohlížeči
Toto není teorie ani spekulace. Celý mechanismus je zakódován přímo v produkčním JavaScript kódu LinkedInu a kdokoli si ho může ověřit během několika minut. Postup je následující:
-
Otevřete LinkedIn v prohlížeči Chrome (nebo jiném Chromium-based prohlížeči).
-
Stiskněte F12 - otevřou se vývojářské nástroje (Developer Tools).
-
Přejděte na záložku Network a filtrujte soubory s příponou .js. Hledejte největší JavaScript bundle - přibližně 2,7 MB. Nebo přímo vyhledejte chunk.905 ve zdrojovém kódu stránky.
-
Otevřete tento soubor a vyhledejte řetězec chrome-extension://. Najdete seznam rozšíření v modulu 75023 - tisíce záznamů s ID rozšíření a konkrétními soubory, které LinkedIn zkouší načíst.
-
Vyhledejte AedEvent a SpectroscopyEvent - to jsou události, které LinkedIn odesílá, když detekuje rozšíření.
-
Vyhledejte apfcDfPK - to je název RSA klíče použitého k šifrování otisku vašeho zařízení před odesláním.
-
Vyhledejte li/track - to je telemetrický endpoint, na který jsou data odesílána. Sledujte záložku Network pro POST požadavky na tuto adresu po načtení stránky.
Kód je minifikovaný a částečně obfuskovaný, ale názvy proměnných v exportech modulů, URL endpointy a logika kontrolního toku jsou zachovány v čitelné podobě. Vše, co je v tomto článku popsáno, lze přečíst přímo ze zdrojového kódu. Žádná speciální technická znalost není potřeba – stačí vědět, co hledat.
Pozn.: Název souboru (content hash) se mění s každým nasazením nové verze, ale identifikátory chunk.905 a modul 75023 zůstávají stabilní a dohledatelné.
Závěr: Platforma, které svěřujeme svá data - a data kandidátů
LinkedIn je pro většinu z nás denním pracovním nástrojem. Stavíme na něm kariérní strategie, budujeme sítě, hledáme kandidáty, klienty, partnery. A to, co BrowserGate odhaluje, je zásadní porušení této důvěry - provedené v takovém měřítku a s takovou sofistikovaností, že to překračuje hranici technické chyby či nedopatření. Dokonale podle scénáře knihy od Shoshany Zuboff, The Age of Surveillance Capitalism. Dokonale!
Zdroje a ověření:
Primární oficální zdroj:
Microsoft Corporation: Microsoft Compliance Report - Annex 11 - LinkedIn (Online Social Networking Service), DMA.100017, Section 2 - Information on compliance with Articles 5 to 7 of Regulation (EU) 2022/1925 (Digital Markets Act). Oficiální 249stránková zpráva předložená Evropské komisi.
URL: https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/mscle/documents/presentations/Microsoft_DMA_Compliance_Report–LinkedIn_Section_2_Annex.pdfKlíčový kontext: V tomto dokumentu Microsoft 249krát používá slovo "API" – slovo "Voyager" (název interního API zpracovávajícího 163 000 volání za sekundu) se nevyskytuje ani jednou.
Investigativní zdroje:
BrowserGate investigace - Fairlinked e.V.: browsergate.eu
Technická dokumentace (zdrojový kód LinkedInu): browsergate.eu/how-it-works
Databáze sledovaných rozšíření: browsergate.eu/extensions
Přímé ověření v prohlížeči: linkedin.com → F12 → Network → chunk.905 → modul 75023 → hledejte chrome-extension://
Články od José Kadlec: https://josefkadlec.com/blog/the-complete-list-of-prohibited-linkedin-plugins, https://josefkadlec.com/blog/the-complete-list-of-blacklisted-linkedin-plugins-vol-2, https://josefkadlec.com/blog/the-complete-list-of-blacklisted-linkedin-plugins-vol-3