Coleta De Dados

O LinkedIn enfrenta duas ações judiciais coletivas na Califórnia, acusando a plataforma de coletar dados de usuários sem consentimento através da varredura de extensões de navegadores. Segundo um relatório da associação Fairlinked e.V., a rede social teria utilizado um arquivo JavaScript para escanear mais de 6 mil extensões no Chrome, coletando informações sensíveis como resolução de tela, fuso horário e configurações de idioma. O LinkedIn, por sua vez, refutou as alegações, classificando-as como exageradas e distorcidas, e afirmou que a verificação de extensões é uma prática para proteger a privacidade dos usuários e garantir a estabilidade do site. As ações judiciais exigem que a plataforma pague indenizações e interrompa a coleta de dados. Uma das ações foca na possível violação de leis de privacidade, enquanto a outra questiona a conduta da empresa em relação ao escaneamento silencioso. O caso levanta preocupações sobre a privacidade dos usuários e a conformidade com legislações como a LGPD no Brasil.

Um relatório da associação Fairlinked e.V. acusa o LinkedIn de escanear navegadores de usuários para coletar dados sobre extensões instaladas, utilizando um script em JavaScript que verifica mais de 6 mil extensões do Google Chrome. A análise sugere que essa coleta de dados é feita sem o consentimento dos usuários e que as informações obtidas são vinculadas aos perfis dos mesmos, permitindo ao LinkedIn mapear quais empresas utilizam ferramentas concorrentes. Além disso, o relatório menciona que a plataforma teria enviado ameaças a usuários de ferramentas de terceiros com base nos dados coletados. O site Bleeping Computer confirmou a presença de um script que coleta informações detalhadas do navegador, como memória disponível e configurações de idioma. Em resposta, o LinkedIn negou as acusações, afirmando que as alegações são falsas e que a verificação de extensões é uma medida para proteger a privacidade dos usuários. Essa situação levanta preocupações sobre a privacidade e a segurança dos dados dos usuários da plataforma.

Pesquisadores de segurança da Kaspersky revelaram como o Modelo de Protocolo de Contexto (MCP), um novo padrão da Anthropic para integrações de assistentes de IA, pode ser explorado como um vetor sofisticado de ataque à cadeia de suprimentos. O estudo de prova de conceito demonstra que servidores MCP aparentemente legítimos podem coletar silenciosamente credenciais sensíveis de desenvolvedores e dados de ambiente. O MCP atua como um ‘barramento de plug-ins’, permitindo que assistentes de IA, como Claude e Cursor, se conectem a ferramentas externas e fontes de dados através de comandos em linguagem natural. No entanto, essa arquitetura cria superfícies de ataque significativas que estão sendo exploradas por atores maliciosos. Técnicas de exploração incluem confusão de nomes, envenenamento de ferramentas e cenários de ‘rug pull’, onde servidores legítimos são substituídos por versões comprometidas. O conceito de ataque demonstrado envolveu a criação de um pacote malicioso que, uma vez instalado, realizava operações de coleta de dados sofisticadas, visando arquivos sensíveis, como chaves SSH e credenciais de API. A exfiltração de dados era disfarçada como tráfego normal do GitHub, dificultando a detecção. As equipes de segurança devem implementar fluxos de aprovação rigorosos e monitorar interações para mitigar esses riscos emergentes.