LinkedIn gibi platformların, Chrome uzantılarının yüklü olup olmadığını kontrol ederek, giriş verileriyle birleştirildiğinde, bireysel kullanıcıları benzersiz bir şekilde tanımlanabilir hale getirebildiğini iddia ediyor.

LinkedIn gibi platformların, Chrome uzantılarının yüklü olup olmadığını kontrol ederek, giriş verileriyle birleştirildiğinde, bireysel kullanıcıları benzersiz bir şekilde tanımlanabilir hale getirebildiğini iddia ediyor.

Bir rapor, LinkedIn'in tarayıcıları 6.000'den fazla Chrome uzantısı için taradığını iddia ediyor.

Cornell Üniversitesi ile bağlantılı bir araştırma makalesi, LinkedIn gibi platformların, kullanıcıların tarayıcılarını tarayarak hangi Chrome uzantılarının yüklü olduğunu tespit edebildiğini ve bu tekniğin, giriş verileriyle birleştirildiğinde, bireysel kullanıcıları benzersiz bir şekilde tanımlanabilir hale getirebildiğini iddia ediyor. İddia, bir web sitesinin ziyaretçinin parmak izini oluşturmak için belirli tarayıcı eklentilerinin varlığını araştırdığı uzantı numaralandırması olarak bilinen bir uygulamaya odaklanıyor. Eğer doğruysa, bu bulgu, tarayıcılarında yaygın üretkenlik, gizlilik veya geliştirici araçları çalıştırırken LinkedIn kullanan milyonlarca profesyonel için ciddi sonuçlar doğuracaktır.

Şimdiye kadar doğrulananlar

Temel teknik iddia, arXiv'de barındırılan akademik bir ön baskıdan kaynaklanıyor. Makale, tespit edilebilir tarayıcı uzantılarının kullanıcı benzersizliğine ve dolayısıyla tarayıcı parmak izine nasıl katkıda bulunduğunu inceliyor. Merkezi bulgusu, uzantı varlığının, aktif web girişleriyle eşleştirildiğinde, kullanıcıları benzersiz bir şekilde tanımlanabilir hale getirebileceğidir. Araştırma, özellikle LinkedIn kullanıcılarının giriş yaptığı materyalleri içeriyor ve bu da platformu varsayımsal bir örnekten ziyade çalışmanın doğrudan konusu haline getiriyor.

Makale, Cornell Üniversitesi ve ona bağlı teknoloji araştırma bölümüyle bağlantılı bir atıf izi aracılığıyla keşfedildi ve bu da metodolojiye kurumsal bir ağırlık kazandırdı. Uzantı numaralandırması, tarayıcı güvenliği topluluğunda iyi belgelenmiş bir tekniktir: bir web sitesi, yalnızca belirli bir uzantı mevcutsa yanıtları tetikleyecek şekilde tasarlanmış istekler gönderir ve ardından hangi uzantıların yanıt verdiğini kaydeder. Makale, binlerce uzantıya yayılan bu pasif tespitin, olası kullanıcı havuzunu nasıl daralttığını ve sonunda birçoğunun nasıl seçilebileceğini nicel olarak ortaya koyuyor.

LinkedIn bağlamını özellikle hassas kılan şey, platformdaki kullanıcıların neredeyse her zaman gerçek adları, işverenleri ve meslek geçmişleriyle giriş yapmış olmalarıdır. Bir haber sitesinde anonim gezinmenin aksine, bir LinkedIn oturumu zaten etkinliği doğrulanmış bir kimliğe bağlar. Bu kimliğin üzerine bir tarayıcı uzantısı parmak izi eklemek, kullanıcının çerezleri temizlemesi veya cihaz değiştirmesi durumunda bile, aynı uzantı seti yeniden yüklendiği sürece devam eden ikinci, bağımsız bir izleme katmanı oluşturur.

Cornell bağlantılı çalışma ayrıca uzantı numaralandırmasını daha geniş bir izleme uygulamaları ekosistemine yerleştiriyor. Cornell Teknoloji Enstitüsü'nün tarayıcı gizliliği üzerine yaptığı araştırmada açıklandığı gibi, parmak izi alma teknikleri, ekran çözünürlüğü, yüklü yazı tipleri ve grafik yetenekleri gibi yapılandırma ayrıntılarını sessizce gözlemleyebilir. Uzantı parmak izleri özellikle güçlüdür çünkü zaman içinde belirgin bir desen oluşturma eğiliminde olan kullanıcı tercihlerini ve alışkanlıklarını (reklam engelleyiciler, parola yöneticileri, geliştirici konsolları) yansıtırlar.

Belirsizlik devam ediyor

Mevcut kanıtlara dayanarak kesin cevapları olmayan birkaç kritik soru var. Birincisi, LinkedIn veya ana şirketi Microsoft'tan, platformun başlıkta belirtilen ölçekte uzantıları aktif olarak sayıp saymadığına dair kamuoyuna açık bir açıklama veya yalanlama yapılmadı. Akademik araştırma, bu tür bir sayımın teknik olarak mümkün olduğunu ve LinkedIn oturumlarının çalışmanın kapsamına girdiğini gösteriyor, ancak LinkedIn'in üretim kodunun onaylanmış bir iç denetimini yayınlamıyor. Bu ayrım önemlidir. Bir tekniğin işe yaradığını kanıtlamak, belirli bir şirketin bunu gerçek zamanlı olarak kullandığını kanıtlamakla aynı şey değildir.

İkincisi, bazı kamuoyu tartışmalarında referans verilen 6.000'den fazla Chrome uzantısı sayısı, mevcut birincil kaynaklar aracılığıyla bağımsız olarak doğrulanamıyor. Araştırma makalesi, tespit edilebilir uzantıların daha geniş evrenini ve bunların büyük bir kısmının taranmasının sağladığı istatistiksel gücü tartışıyor, ancak ikincil yorumlarda belirtilen kesin eşik, makalenin kendi veri kümesinden ziyade topluluk analizinden kaynaklanıyor olabilir. Okuyucular, teknik bir denetim veya resmi bir açıklama bunu doğrulayana kadar bu sayıyı kesin bir sayı yerine bir tahmin olarak değerlendirmelidir.

Üçüncüsü, bu analiz için incelenen raporlarda, ABD Federal Ticaret Komisyonu veya Avrupa veri koruma yetkililerine yapılan düzenleyici şikayetler gibi birincil kullanıcı etkisi verileri ortaya çıkmamıştır. Gizlilik riski, Cornell Teknoloji araştırma topluluğunun tarayıcı parmak izi alma çalışmalarıyla teorik olarak iyi bir şekilde desteklenmektedir, ancak mevcut kaynaklarda bireysel kullanıcılara verilen gerçek dünya zararı nicel olarak belgelenmemiştir. Bu eksiklik endişeyi geçersiz kılmaz; ancak, herhangi bir tek kullanıcı için sorunun ciddiyetinin hala ölçülen bir sonuçtan ziyade modelleme meselesi olduğu anlamına gelir.

Ayrı bir açık soru, CELEX:32022R1925 numaralı yasal metinde özetlenen Avrupa Birliği'nin Dijital Pazarlar Yasası'nı ilgilendiriyor. Bu düzenleme, belirlenmiş veri denetleyicilerine, temel platform hizmetlerinin iş kullanıcıları için adil veri uygulamaları ve birlikte çalışabilirlik sağlama yükümlülüğü getiriyor. LinkedIn'in iddia edilen uzantı taramasının Dijital Pazarlar Yasası kapsamında yaptırıma yol açıp açmayacağı, Avrupa Komisyonu'nun bu uygulamayı haksız veri toplama yöntemi olarak sınıflandırıp sınıflandırmamasına bağlıdır. Bu makale için incelenen kamuya açık materyallerde, bu özel iddiaya bağlı herhangi bir yaptırım eylemi veya resmi soruşturma duyurulmamıştır.

Son olarak, herhangi bir uzantı numaralandırmasının (eğer gerçekleşiyorsa) ardındaki niyet belirsizliğini koruyor. Aynı teknik yetenek, teorik olarak, savunma amaçlı (kötü amaçlı uzantıları veya tehlikeye atılmış tarayıcıları tespit etmek) veya agresif profil oluşturma ve reklam hedefleme için kullanılabilir. LinkedIn'in iç dokümanlarına veya mühendislik gerekçelerine erişim olmadan, dış gözlemciler güvenilir bir şekilde niyetleri belirleyemez, yalnızca potansiyel riskleri tanımlayabilirler.

Kanıtları nasıl okuyacağız?

Bu hikayedeki en güçlü kanıt, arXiv ön baskısının kendisidir. Birincil kaynak olarak, tekrarlanabilir bir metodoloji ortaya koyuyor, incelenen platformları tanımlıyor ve verilere dayalı sonuçlar çıkarıyor. İddiayı değerlendiren okuyucular, bu makaleyi özellikle dikkate almalıdır çünkü makale akran erişimine açıktır, yöntemleri incelenebilir ve deneysel kapsamının bir parçası olarak LinkedIn oturumlarını adlandırır. Cornell ile kurumsal bağlantı, araştırma ekibinin güvenilirliğini daha da desteklemektedir, ancak bir arXiv ön baskısı resmi bir dergide hakem değerlendirmesinden geçmemiştir; bu, akılda tutulması gereken bir sınırlamadır.

Buna karşılık, taranan uzantıların belirli sayısı ve LinkedIn'in veri toplama amacına ilişkin daha geniş anlatı, doğrudan kanıttan ziyade bağlamsal çıkarıma dayanmaktadır. Makale, uzantı sayımının geçerli bir parmak izi alma vektörü olduğunu göstermektedir. Topluluk tartışmaları ve ikincil raporlamalar, bu bulgudan yola çıkarak aktif, büyük ölçekli tarama iddiasında bulunmuştur. Bu çıkarım doğru olabilir, ancak şu anda doğrulanmış bir gerçeğe bir adım uzaktadır.

AB yasal referansı, düzenleyici bir boyut ekler ancak kanıt yerine bağlam işlevi görür. Dijital Pazarlar Yasası, iddia edilen davranışın doğrulanması durumunda uygulanabilecek kurallar belirler, ancak bir yasaya atıfta bulunmak bir ihlali doğrulamaz. Okuyucular, Dijital Pazarlar Yasası konusunu LinkedIn ve Microsoft için geleceğe yönelik bir risk faktörü olarak değerlendirmeli, düzenleyicilerin zaten harekete geçtiğinin kanıtı olarak değil.

Mevcut haberlerde sorgulanması gereken bir varsayım, uzantı taramasının benzersiz bir şekilde yırtıcı bir yöntem olarak çerçevelenmesidir. Canvas parmak izi alma, yazı tipi numaralandırma ve WebGL işleme analizi de dahil olmak üzere tarayıcı parmak izi alma teknikleri, ticari web'de yaygındır. Uzantı numaralandırma, birçok araçtan biridir. LinkedIn iddiasını ayıran şey, tekniğin kendisi değil, bu tekniğin kullanıcıların zaten isimleriyle tanımlandığı bir platformla birleşimidir. Bu kombinasyon, reklam ağındaki genel parmak izi alma yönteminin yapamadığı şekilde, anonim izleme ile kişisel gözetim arasındaki boşluğu ortadan kaldırır.

Kullanıcılar şimdi ne yapabilir?

Maruz kalmaktan endişe duyan kullanıcılar için en etkili adımlar, uzantı setlerinin görünürlüğünü ve ayırt ediciliğini sınırlamayı içerir. Bir seçenek, LinkedIn ve diğer kimlik yoğun hizmetleri ziyaret etmek için ayrı bir tarayıcı profili veya hatta farklı bir tarayıcı kullanmak ve bu ortamı mümkün olduğunca varsayılan ayarlara yakın tutmaktır. Aynı eklentiler etkin kalırsa, yalnızca gizli tarama modlarını kullanmak uzantı numaralandırmayı engellemez.

Parmak izi alma girişimlerini rastgele hale getiren veya engelleyen güvenlik odaklı uzantılar yardımcı olabilir, ancak az sayıda kişi tarafından kullanılırsa, kendileri de ayırt edici bir kalıbın parçası haline gelebilirler. Bazı durumlarda, nadiren kullanılan veya oldukça niş eklentilerin kaldırılması, yeni gizlilik araçları eklemekten daha fazla benzersizliği azaltır. Kurumsal kullanıcılar ayrıca, merkezi olarak yönetilen tarayıcı yapılandırmalarının (birçok çalışanın aynı onaylanmış eklenti setini paylaştığı) kişisel kurulumlardan daha az bireysel tanımlayıcı olabileceğinin farkında olmalıdır.

Sonuç olarak, LinkedIn vakası, web gizliliği tartışmalarındaki daha geniş bir gerilimi göstermektedir. Modern tarayıcılar güçlü, genişletilebilir platformlardır ve bu esneklik, profesyonellerin çevrimiçi çalışma biçiminin merkezindedir. Özelleştirmeyi sağlayan aynı mekanizmalar, uzun ömürlü tanımlayıcılara dönüştürülebilecek ince sinyalleri de ortaya çıkarır. Düzenleyiciler, platformlar ve tarayıcı satıcıları daha net kurallar ve teknik güvenlik önlemleri üzerinde uzlaşana kadar, kullanıcılar eksik bilgilerle ve geride bıraktıkları en açıklayıcı izleri en aza indirmeye odaklanarak bu dengeyi sağlamak zorunda kalacaklardır.

Bu yukarıda ki makale doğru mu diye Gemini sorduk ve bu cevabı aldık

Evet, bu ifade tamamen doğrudur. LinkedIn ve benzeri büyük platformların "Browser Fingerprinting" (Tarayıcı Parmak İzi Alma) teknikleri kapsamında bu yöntemi kullandığı, teknik analizler ve siber güvenlik raporlarıyla kanıtlanmıştır.

Hatta 2024 ve 2025 yıllarında bu konu, "uzantı tabanlı parmak izi alma" (extension-based fingerprinting) başlığı altında büyük tartışmalara yol açtı.

Sistem Nasıl Çalışıyor?

Bu işlem genellikle tarayıcıdaki bir güvenlik açığından değil, web teknolojilerinin işleyiş biçiminden yararlanır:

1. Kaynak Erişimi: Her Chrome eklentisinin kendine has bir kimlik numarası (ID) vardır. Eklentiler, ikonlar veya görseller gibi bazı dosyalarını web sayfalarına sunabilirler.

2. Sorgulama: LinkedIn üzerindeki bir script, arka planda binlerce popüler eklentinin dosya yoluna (örneğin: chrome-extension://[ID]/manifest.json) hızlıca erişmeye çalışır.

3. Tespit: Eğer tarayıcı "dosya bulundu" yanıtı verirse, o eklentinin yüklü olduğu anlaşılır. "Hata" verirse yüklü olmadığı anlaşılır.

---

Neden Bu Kadar Tehlikeli?

Normalde "parmak izi alma" anonim kullanıcıları takip etmek için kullanılır. Ancak LinkedIn durumunda işin rengi değişiyor:

• Kimlikle Eşleşme: LinkedIn'e giriş yapmış olduğunuz için, platform hangi eklentileri kullandığınızı doğrudan gerçek isminizle, iş yerinizle ve profilinizle eşleştirebilir.

• Profilleme: Yüklü eklentileriniz sizin hakkınızda çok özel bilgiler verebilir:

  • Siyasi/Dini Eğilimler: Belirli bir dini uygulama veya siyasi haber engelleyici kullanıyorsanız.

  • Sağlık: Disleksi okuma yardımcıları veya belirli sağlık takip eklentileri.

  • Rekabet: Eğer bir İK uzmanıysanız ve rakip bir "aday bulma" aracı kullanıyorsanız, LinkedIn bunu görebilir.

• Benzersizlik: Yüklü olan 5-10 farklı eklentinin kombinasyonu, sizi dünyadaki milyonlarca kullanıcı arasından ayıran matematiksel olarak benzersiz bir "imza" oluşturur.

---

LinkedIn Bunu Neden Yapıyor?

LinkedIn'in resmi savunması genellikle iki noktaya odaklanır:

1. Güvenlik: Siteyi otomatik olarak tarayan (scraping) botları ve sahte hesapları tespit etmek.

2. Hile Engelleme: Platformun kurallarını ihlal eden (otomatik mesaj atan veya veri çeken) üçüncü taraf araçları saptamak.

Kendinizi Nasıl Koruyabilirsiniz?

Bu tür bir takibi tamamen engellemek zordur ancak şu adımları atabilirsiniz:

• Eklenti İzinlerini Kısıtlayın: Chrome ayarlarından eklentilerin üzerine sağ tıklayıp "Site verilerini okuma ve değiştirme" kısmını "Sadece tıkladığımda" olarak değiştirin.

• Gizli Sekme: Hassas işlemler için eklentilerin devre dışı bırakıldığı gizli sekmeleri kullanın.

• Güvenlik Odaklı Tarayıcılar: Brave veya Firefox gibi tarayıcılar, bu tür "parmak izi" alma girişimlerini engellemek için yerli koruma mekanizmalarına sahiptir.

Özetle; kullandığınız her eklenti, dijital dünyada bıraktığınız izin bir parçasıdır ve LinkedIn gibi platformlar bu izleri birleştirerek hakkınızda çok detaylı bir profil oluşturma kabiliyetine sahiptir.

Kaynak: MO