LinkedIn Đang Đi Đêm Xem Lén Browser Extension Của Anh Em, Ảo Ma Chưa?

Anh em lên LinkedIn chủ yếu để làm gì? Nâng bi nhau vài cái skill "Word, Excel", rải CV dạo, hay hóng xem thằng bạn đồng nghiệp cũ vừa được promote? Dù là gì thì cẩn thận, vì nền tảng tuyển dụng "chuyên nghiệp" nhất hành tinh này vừa bị bóc phốt là đang âm thầm đi soi xem trình duyệt của anh em đang cài những cái extension quái quỷ gì.

LinkedIn rảnh rỗi sinh nông nổi: Đi soi extension của anh em làm mẹ gì?

Chuyện là một trang tên browsergate.eu vừa thả một quả bom chà bá lên Hacker News (kéo về mâm hơn 1500 điểm upvote cmnr). Tóm tắt nhanh cho anh em lười đọc thì: LinkedIn đang chạy các đoạn script ngầm bằng Javascript để scan danh sách browser extension trên máy người dùng.

Bọn họ làm cách nào? Chắc chắn là dị giáo. Thay vì hỏi xin quyền đàng hoàng, mấy cái script này cứ thế chọc ngoáy, gửi các web request mù dựa trên các ID extension phổ biến để xem cái nào trả về kết quả (kiểu dò mìn ấy). Mục đích thì chả ai chính thức confirm, nhưng 99% là để tóm cổ mấy anh em dùng tool auto-connect, data scraper, hoặc dằn mặt mấy cái ad blocker đang cắn mất nồi cơm quảng cáo của họ. Nói chung là mượt, anh em đi tìm việc, còn LinkedIn đi tìm data của anh em!

Giang cư mận Hacker News chia phe combat căng cực

Ngay khi vụ này vỡ lở, cõi mạng lập tức chia làm mấy luồng combat cực cháy:

• Phe "Tế sống Big Tech": Các pháp sư theo chủ nghĩa privacy gào thét đòi xóa account, chửi thề vụ quyền riêng tư thời nay đúng là một trò hề. "Máy của tao, trình duyệt của tao, mắc đ*o gì mày thò tay vào check?" - trích lời một anh em bức xúc.
• Phe "Bênh vực tư bản": Một số anh em dev hệ thực dụng thì bảo: "Ơ kìa, data của nó, nó phải chống scraper chứ?". LinkedIn là một mỏ vàng data, nếu không khóa mõm mấy con bot cào dữ liệu thì sập server hoặc bị bòn rút hết tài nguyên. Việc check extension chỉ là biện pháp phòng vệ, dù thừa nhận là cách làm này hơi "bẩn".
• Phe "Pháp sư phòng ngự": Bắt đầu lôi đủ mọi trick ra để def. Nào là xài Firefox Container, nào là Brave shields, nào là tạo profile rác. Mấy lão quái này còn rủ nhau viết script fake lại kết quả extension để trêu tức server telemetry của LinkedIn.

Chốt hạ: Bài học sinh tồn cho anh em dev

Góc nhìn từ Coding4Food: Đừng mong chờ sự tử tế từ Big Tech. Nó cho bạn dùng nền tảng miễn phí thì bạn chính là sản phẩm.

Bài học xương máu ở đây là gì? Tuyệt đối không dùng chung một profile trình duyệt cho việc vọc vạch code/tool và việc cá nhân/công việc. Hãy chia rạch ròi ra. Cài chục cái extension lậu, tool cào data lên cái Chrome chính rồi có ngày bay luôn cái account LinkedIn đang để tag "Open to work" thì nhục mặt.

Còn anh em nào đam mê hệ cào data, tool automation thì khuyên thật, đầu tư hẳn con vps mà cắm tool cho nó chuẩn chỉ, độc lập hoàn toàn khỏi cái máy làm việc hàng ngày. Vừa an toàn, bảo mật, vừa đ*o sợ bố con thằng nào ở Thung lũng Silicon nhòm ngó.

Nguồn hóng hớt:

• Hacker News Thread: LinkedIn is searching your browser extensions (Link minh họa)
• Bài bóc phốt gốc: Browsergate.eu