Profesyonel ağ platformu LinkedIn , yaklaşık bir milyar kullanıcısını ilgilendiren büyük bir gizlilik skandalının merkezinde yer alıyor. Ortaya çıkan bilgilere göre şirket, Chrome tabanlı tarayıcılarda kullanıcıların yüklü 6.000’den fazla eklentisini gizlice tarıyor. Ayrıca cihazlarından 48 farklı donanım ve yazılım özelliği topluyor. Araştırmacılar bu durumu “BrowserGate” olarak adlandırıyor. LinkedIn’in gizlilik politikasında bu uygulamanın hiçbir şekilde belirtilmemesi ise ciddi tartışmaları beraberinde getiriyor. Techneiro olarak gördüğümüz bu durum, dijital mahremiyet için yeni bir dönüm noktası olabilir.

Hızlı Özet: LinkedIn Skandalının Ana Hatları
LinkedIn, Chrome tabanlı tarayıcılarda 6.000’den fazla tarayıcı eklentisini gizlice tarıyor.
Her oturumda 48 farklı cihaz özelliği toplayarak benzersiz bir parmak izi oluşturuyor.
Araştırmacılar bu uygulamayı “BrowserGate” olarak adlandırdı. Uygulama platformun gizlilik politikasında yer almıyor.
LinkedIn, bunu güvenlik önlemi olarak açıklarken, eleştirenler endüstriyel ölçekte gözetim olarak görüyor.
LinkedIn, verileri şifreliyor ve her API isteğine ekleyerek sunuculara iletiyor.

BrowserGate Nedir ve LinkedIn Nasıl Çalışıyor?

Bu hafta başında Fairlinked e. V. Adlı Avrupalı bir ticari LinkedIn kullanıcıları derneği, platformun 2.7 megabaytlık bir JavaScript paketi enjekte ettiğini. Ayrıca bunun ziyaretçilerin tarayıcılarını sessizce taradığını duyurdu. Bu JavaScript, 6.222 farklı Chrome eklentisinin varlığını kontrol ediyor. Ayrıca cihazın donanımına dair detaylı bir parmak izi oluşturuyor. Daha sonra bu parmak izini şifreliyor ve LinkedIn sunucularına iletiyor. BleepingComputer gibi bağımsız kaynaklar da bu tarama davranışını kendi testleriyle doğruladı.

Kapsamlı Tarama Mekanizması ve Veri Toplama Boyutları

LinkedIn’in “Spektroskopi” adını verdiği bu sistem, kullanıcı siteyi her yüklediğinde devreye giriyor. Tamamen görünmez ve bildirim olmaksızın arka planda çalışıyor. Sistem, her eklentinin kimliğiyle ilişkili dosyalara erişmeye çalışarak 6.222 eşzamanlı istek gönderiyor. Yanıtta bir dosyanın varlığı veya yokluğu, eklentinin kurulu olup olmadığını gösteriyor.

Tarayıcı eklentilerinin ötesinde, bu gizli yazılım kullanıcının cihazına ait 48 farklı özelliği de topluyor. Bunlar arasında işlemci çekirdek sayısı, mevcut bellek, ekran çözünürlüğü, zaman dilimi, dil ayarları, pil durumu, ses donanımı bilgileri. Ayrıca depolama kapasitesi gibi detaylar yer alıyor. Tek başına bu özellikler sıradan görünebilir. Ancak bir araya geldiklerinde, çerezler temizlense bile bir kullanıcıyı tanımlayacak kadar hassas bir cihaz parmak izi oluşturuyorlar.

Dijital Parmak İzi: LinkedIn Her Hareketinizi Biliyor

LinkedIn, toplanan verileri JSON formatında serileştirdikten sonra, dahili kimliği “apfcDfPK” olan bir RSA açık anahtarı kullanarak şifreliyor. Daha sonra LinkedIn, bu şifreli bilgileri /li/track ve /platform-telemetry/li/apfcDf gibi telemetri uç noktalarına gönderiyor. Bu noktadan sonra LinkedIn, oturum boyunca yapılan her API isteğine (her arama, her profil görüntülemesi. Gönderilen her mesaj) bu parmak izini kalıcı olarak bir HTTP başlığı olarak ekliyor. Yani LinkedIn, platformda attığınız her adımı bu detaylı cihaz parmak iziyle ilişkilendiriyor. Bu durum, birçok kullanıcı için büyük bir gizlilik ihlali endişesi yaratıyor. Geçtiğimiz günlerde yaptığımız “Casus VPN Uygulamaları Tam Liste” haberimizle bağlantılı olarak, dijital dünyada takip edilmekten korunmanın ne kadar zorlaştığını tekrar hatırlatıyor.

LinkedIn’in Gizli Amaçları: Güvenlik mi, Gözetim mi?

LinkedIn bu tarama sistemini bir güvenlik önlemi olarak savunuyor. Bir sözcü, “Burada bağlantı verilen web sitesindeki iddialar kesinlikle yanlış” diyerek, uygulamayı üyelerin gizliliğini korumak. Ayrıca site istikrarını sağlamak için kullandıklarını iddia etti. Ayrıca üyeler hakkında hassas bilgiler çıkarmak için bu verileri kullanmadıklarını da eklediler.

Ancak araştırmacılar bu iddialara şüpheyle yaklaşıyor. Taranan eklentilerin listesi, gözetim boyutunu basit bir dolandırıcılık tespitinin ötesine taşıyor.

Rakip Takibi ve Hassas Veri İddiaları

BrowserGate raporuna göre, LinkedIn’in taradığı listede kendi satış araçlarıyla doğrudan rekabet eden 200’den fazla ürün bulunuyor. Bunlar arasında Apollo, Lusha ve ZoomInfo gibi popüler araçlar yer alıyor. LinkedIn, her kayıtlı kullanıcının işverenini bildiği için. Rakip araçların varlığını sistematik olarak tarayarak hangi şirketlerin rakip ürünleri değerlendirdiğini veya kullandığını görüyor. Bu durum, şüphesiz bir pazar istihbaratı faaliyeti olarak yorumlanıyor.

Daha da endişe verici olan, listede nörodiverjan durumlarla, dini uygulamalarla, politik ilgi alanlarıyla. Ayrıca iş arama faaliyetleriyle ilişkili araçların da bulunmasıdır. Avrupa Birliği, bu kategorileri Genel Veri Koruma Tüzüğü (GDPR) kapsamında yüksek koruma gerektiren hassas kişisel veriler olarak kabul ediyor. Örneğin, bir kullanıcının iş arama eklentisi kullandığını bilmek, onların istihdam niyetleri hakkında rıza olmaksızın anlamlı bir çıkarım yapmak anlamına geliyor. Bu, platformun gizlilik politikalarını çiğneyen bir hareket olabilir.

Bu operasyonun ölçeği zamanla çarpıcı bir şekilde büyüdü. LinkedIn 2017’de sadece 38 eklentiyi tararken, 2024’e gelindiğinde bu sayı 461’e yükseldi. Şubat 2026 itibarıyla liste 6.167’ye ulaştı . Bu, sadece iki yılda %1.252’lik bir artış gösterdi. BleepingComputer’ın testleri, taramanın Nisan 2026 başı itibarıyla aktif olduğunu doğruluyor.

Hukuki Arka Plan ve Avrupa’nın Tepkisi

Bu olay, LinkedIn’in Avrupa veri koruma otoriteleriyle ilk ciddi karşılaşması değil. Hatırlayacağınız üzere İrlanda Veri Koruma Komisyonu (İDPC). Ekim 2024’te LinkedIn’e hedefli reklamcılık için kullanıcı verilerini geçerli bir yasal dayanak olmaksızın işlediği gerekçesiyle 310 milyon Euro (yaklaşık 334 milyon dolar) para cezası kesmişti. Bu karar, LinkedIn’in rıza mekanizmalarının GDPR’ın “özgürce verilmiş” rıza gerekliliğini karşılamadığını tespit etmişti. İDPC, şirkete veri işlemeyi uyumlu hale getirme emri vermişti.

BrowserGate soruşturması tam da bu noktada gündeme geliyor. 6.000’den fazla tarayıcı eklentisini taramanın, LinkedIn’in özel kategorili kişisel verileri işleyip işlemediği. Ayrıca kullanıcıların bu uygulamadan habersiz olmasının zımni rızayı geçersiz kılıp kılmadığı hukuki bir soru işareti yaratıyor. İrlanda Veri Koruma Komisyonu’nun daha önce mahkemede benzer soruları ele almaya istekli olduğunu biliyoruz.

Avrupa’nın gelişen dijital düzenleme çerçevesi, tüm önemli veri toplama faaliyetlerini şirketlerin açıkça açıklamasını talep etmeye doğru ilerliyor. Bu ölçekte, LinkedIn’in gizlilik politikasında hiçbir şekilde bahsetmediği bir tarama operasyonu, bu yöndeki düzenlemelerle çelişiyor gibi görünüyor.

Microsoft, 2016 yılında LinkedIn’i 26.2 milyar dolara satın aldı. Microsoft, 2026’da yapay zeka yeteneklerini agresif bir şekilde genişletiyor . LinkedIn’in engin profesyonel kimlik ve istihdam geçmişi veri kümesi, bu yapay zeka yeteneklerinin dayandığı önemli bir veri altyapısını oluşturuyor. LinkedIn, veri toplama uygulamaları ile Microsoft’un daha geniş yapay zeka hedefleri arasındaki ilişkiyi de gizlilik politikasında açıklamıyor. Bu konuda daha fazla bilgi için “Yapay Zeka Tarayıcıları ve Gözetim Tuzağı” makalemizi de inceleyebilirsiniz.

Kullanıcılar Ne Yapmalı?

Küresel Etki ve Kullanıcı Kitlesi

LinkedIn’in bir milyardan fazla kayıtlı kullanıcısı bulunuyor. Çoğunluğu Chrome tabanlı tarayıcılar aracılığıyla platforma erişiyor. Bu durum, “Spektroskopi” taramasının küresel profesyonel iş gücünün önemli bir bölümünün cihazlarında düzenli olarak çalıştığı. Ayrıca çerez sıfırlamalarından, hatta potansiyel olarak cihazlar arası geçişlerden bile sonra kalıcı olabilecek hassas bir parmak izi topladığı anlamına geliyor.

Kullanıcı Kontrolü ve Alternatif Çözümler

Firefox gibi Chromium tabanlı olmayan bir tarayıcı kullanmak, LinkedIn’in parmak izi alma yeteneklerini sınırlayabilir ancak tamamen ortadan kaldırmayabilir. Açıkçası, bu taramayı engelleyecek hiçbir kullanıcıya dönük ayar bulunmuyor . Platform, bu uygulamayı açıklamadığı için bir çıkış seçeneği de sunmuyor.

Regülatörlerin Rolü ve Gelecek Beklentileri

2026’nın yönetilen ve şeffaf yapay zeka ve veri uygulamalarına yönelik çabaları , tam da bu tür görünmez veri toplamanın varsayılan olmaması gerektiği önermesi üzerine inşa edildi. Regülatörlerin, LinkedIn ölçeğindeki bu varsayılan durumu değiştirmek için yeterince hızlı hareket edip etmeyeceğini ise zaman gösterecek. Güvenlik firmaları bu tür gizli veri toplama yöntemlerini tespit etmek için özel araçlar geliştirdikçe, bu alan kendi başına bir büyüme sektörü haline geliyor. Bu da platformların topladığı veriler ile kullanıcıların anladıkları arasındaki boşluğun hala çok geniş olduğunu gösteren önemli bir pazar göstergesi. 2025 yılı, yapay zeka destekli veri toplamanın düzenlemelerin yetişemediği bir hızda normalleştiği bir yıl oldu. BrowserGate, bu gecikmenin bir tarayıcının içinden nasıl göründüğünün çarpıcı bir örneği.

BrowserGate Teknik Detaylar Tablosu

Özellik	Detay
JavaScript Paketi Boyutu	2.7 megabayt
Taranan Eklenti Sayısı	2017: 38 eklenti 2024: 461 eklenti Şubat 2026: 6.167 eklenti
Cihaz Özelliği Sayısı	48 adet (CPU çekirdek sayısı, bellek, ekran çözünürlüğü, zaman dilimi, dil, pil durumu, ses donanımı, depolama kapasitesi vb.)
Şifreleme Anahtarı	RSA açık anahtarı (LinkedIn dahili kimliği: “apfcDfPK”)
Veri Uç Noktaları	`li/track`, `/platform-telemetry/li/apfcDf`
Entegrasyon	Her API isteğine HTTP başlığı olarak eklenir

LinkedIn’in Savunması: İnandırıcı mı?

Açıkçası, LinkedIn’in bu “BrowserGate” savunması kulağa pek de inandırıcı gelmiyor. Bir yandan kullanıcı verilerini koruduğunu iddia eden bir platformun, diğer yandan gizlice binlerce tarayıcı eklentisini. Ayrıca 48 farklı cihaz özelliğini taraması, dijital dünyadaki çifte standardın yeni bir örneğidir. Dürüst olmak gerekirse, bu ölçekte bir veri toplamasını sadece güvenlik endişeleriyle açıklayamayız. Özellikle rekabet eden araçları ve GDPR kapsamında “hassas” kabul edilen kişisel ilgi alanlarını hedeflemesi. Gözetim boyutunu çok net bir şekilde ortaya koyuyor.

Microsoft’un AI Hedefleri ve Veri İlişkisi

İlginçtir ki, Microsoft gibi dev bir şirketin bünyesinde faaliyet gösteren LinkedIn’in. Kendi ana şirketinin yapay zeka hırslarına veri sağlamak için bu tür yöntemlere başvurması düşündürücü. Kullanıcılar olarak, “Bizim verilerimizle ne yapılıyor? ” sorusunu daha yüksek sesle sormak zorundayız.

Şeffaflık Çağrısı ve Kullanıcı Sorumluluğu

Zira bu tür “görünmez” veri toplama pratikleri, uzun vadede internetin temel güven ve şeffaflık ilkelerini aşındırıyor. Regülatörlerin, özellikle de AB’nin, bu duruma ne kadar hızlı ve sert tepki vereceği, dijital geleceğimiz için kritik bir gösterge olacak. Bu fırsatı kaçırmadan, kendi gizliliğimizi korumak için tarayıcı seçeneklerimizi gözden geçirmeliyiz.

Sıkça Sorulan Sorular (FAQ)

S: BrowserGate nedir?
*C: BrowserGate, LinkedIn’in Chrome tabanlı tarayıcılarda kullanıcıların kurulu tarayıcı eklentilerini ve cihaz özelliklerini gizlice taraması ve bu verileri toplaması pratiğine verilen isimdir.

S: LinkedIn bu verileri ne amaçla topladığını iddia ediyor?
*C: LinkedIn, bu uygulamanın site istikrarını korumak, veri kazıma (scraping) ve hizmet şartları ihlallerini tespit etmek gibi güvenlik önlemleri için gerekli olduğunu belirtiyor.

S: Bu uygulamadan kendimi nasıl koruyabilirim?
*C: Kaynak makale, Firefox gibi Chromium tabanlı olmayan bir tarayıcı kullanmayı önermekle birlikte, bunun veri toplama yeteneklerini tamamen ortadan kaldırmayabileceğini belirtiyor. Şu an için kullanıcıya dönük doğrudan bir kapatma seçeneği bulunmuyor.

Önemli Çıkarımlar

LinkedIn’in “BrowserGate” operasyonu, dijital gizliliğin ne kadar kırılgan olduğunu bir kez daha gösterdi. Şirketin binlerce tarayıcı eklentisini ve 48 cihaz özelliğini sessizce toplaması, güvenlikten öte ticari ve hatta hassas kişisel veri gözetimi endişelerini beraberinde getiriyor. Kullanıcıların bilgisi veya rızası olmadan yapılan bu tür veri toplama, Avrupa’daki mevcut ve gelişen veri koruma yasalarıyla ciddi şekilde çelişiyor. Açıkça, dijital çağda şeffaflık ve kullanıcı kontrolü, teknoloji devlerinin öncelikli sorumluluğu olmalı.

Bunları da Okuyun:

Kaynak: thenextweb.com