Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties

LinkedIn wil de Sell Hack-plugin offline halen. Sell Hack is een browserplugin die het e-mailadres van LinkedIn-gebruikers met één druk op de knop weet te achterhalen. De plugin gebruikt eigen databronnen, maar daar neemt LinkedIn geen genoegen mee.

Wanneer een gebruiker de Sell Hack-plugin installeert, verschijnt bij LinkedIn-profielen een 'Hack in'-knop die binnen luttele seconden een e-mailadres kan achterhalen. Op de site van Sell Hack staat dat de plugin alleen van openbaar toegankelijke informatie gebruikmaakt, maar de extensie vermeldt niet specifiek wat die bronnen zijn. Bij installatie vraagt de plugin bovendien om toegang tot de LinkedIn-gegevens van de gebruiker, maar onduidelijk is waarom dat gebeurt.

LinkedIn heeft het bedrijf achter Sell Hack een cease & desist-brief gestuurd en waarschuwt de mensen achter de plugin dat ze 'meerdere overtredingen' plegen. Dat laat het bedrijf weten aan Gigaom. Bovendien wordt afgeraden om de plugin te installeren, aangezien niet duidelijk is wat er gedaan wordt met de toegang tot LinkedIn-gegevens van gebruikers ervan. Tot slot verzekert LinkedIn dat gebruikers er geen veiligheidsproblemen zijn bij de netwerksite en er niets gelekt is.

Sell Hack screenshot

Moderatie-faq Wijzig weergave

Reacties (20)

Nou dit gaat natuurlijk weer een beetje een Streisand Effect geven...

Maar - ik heb het ding even voor de grap eens geinstalleerd (in Chrome) en het werkt voor geen meter. Geen idee waar/wanneer die "Hack In" knop nou zou moeten komen, maar ik zie hem niet. Niet bij mensen die al in mijn LinkedIn zijn, noch bij mensen die buiten mijn cirkels zijn. Wellicht hebben ze de site al "gepatched" of is hebben ze direkt gevolg gegeven aan die cease en decist brief.

Anyway... ook even LinkedIn password etc. aangepast na verwijdering.
Of ze hebben nu jouw informatie al binnen en heeft de plug-in dus zijn werk gedaan...
Je kan altijd eerst even de broncode van de plugin bekijken.

Heb ik net even gedaan en deze laadt gewoon dit js scriptje bij linkedin domeinnamen:
https://sellhack-static.s.../linkedin/sellhack.min.js

Zoals je ziet is het scriptje inmiddels empty en doet de plugin dus niets meer.
Waarom heb je niet gewoon een fake account aangemaakt voordat je ging spelen met je eigen gegevens? :)
Ik moet ineens denken aan die 'handige' LinkedIn Outlook plugin, waarna Linkedin mij plotseling dacht te kunnen koppelen aan mensen die nooit van Linkedin gehoord hadden. Deze personen hadden dus geen account, maar dit werd zsm getracht te verhelpen door ze een email te sturen op het moment dat *ik* op connect drukte, dan verzocht *ik* ze namelijk hiertoe. Dat ze geen account hadden word niet duidelijk getoond. Hun emailadres was echter allang natuurlijk al opgeslokt.

Linkedin is een handig zakelijk medium maar soms wel erg achterbaks.

[Reactie gewijzigd door MD1975 op 1 april 2014 19:23]

Ik ben heel benieuwd waar LinkedIn de cease & desist op gaat baseren.

Deze add-in beweert dat het publieke bronnen gebruikt voor e-mailadressen (vergelijkbaar als https://rapportive.com/), MAAR het is ook een self fulfilling prophecy, want als je de extensie installeert heeft het toegang tot je persoonlijke gegevens (inclusief je e-mailadres ;))
Dat zijn echter dan nog altijd gaan "publieke bronnen" lijkt me.
Ik snap dat het artikel niet compleet kon zijn, maar dit is de info die rechtstreeks van de site komt:
If you click the button, we'll start to run the profile against our data sources.
dat klinkt al als meta-data wat zij hebben verzameld, maar het lijkt alsof we hier gerustgesteld worden:
The data we process is all publicly available.
Alleen, nadat de ze c&d hebben ontvangen, is er een blog artikel geplaatst waar ze zeggen wat ze bedoelen met publicly available:
We only processed publicly visible data from LinkedIn based on your profile permissions
;)
Bij dit soort plugins denk ik dan gewoon: Kun je de website niet zo aanpassen dat het onmogelijk wordt om deze plugin te gebruiken? Je website zeg maar patchen, moet niet zo lastig zijn.

Ik denk overigens dat LinkedIN groot kans heeft dit te winnen. Facebook heeft een soortgelijke zaak ook gewonnen. Dit ging toen om plugins waarmee je kon achterhalen/bijhouden wie jou als vriend heeft verwijderd.
Dat zou alleen zo zijn als die e-mail gegevens direct bij linkedin vandaan zouden komen, wat dus niet het geval is.
Als websitemaker kan je bijzonder weinig tegen extensions doen - is sowieso een kat een muis spelletje, en elke wijziging die je doet om het lastiger te maken is een stuk moeilijker voor de site dan voor de extensionbouwer om omheen te komen.
Dan krijg je een wapenwedloop, dat wil je niet als bedrijf.
Je wilt gewoon dat de rechter het verbiedt.
Dan krijg je een wapenwedloop, dat wil je niet als bedrijf.
Je wilt gewoon dat de rechter het verbiedt.
. Dan moet daar wel een wettelijke basis voor zijn
Niet als het client-side is, dan wordt de code van de site dus eerst gewoon opgehaald, en vervolgens door de plugin aangepast voordat het aan de gebruiker getoond wordt. De site ziet hier dus niks van terug.
"Bij installatie vraagt de plugin bovendien om toegang tot de LinkedIn-gegevens van de gebruiker, maar onduidelijk is waarom dat gebeurt."
Ik gok om de database met e-mail adresjes aan te vullen?
Dat is waarschijnlijk één van de mogelijkheden.. ze kunen best veel met je linkedin profiel hoor... ;)
Misschien is Linkedin wel eens gehacked geweest, en doet de plugin een search op die database?
Ik had een account bij LinkedIn maar heb dat al een tijd geleden verwijderd.
Als ik nu naar mijn naam+ LinkedIn zoek via Google vind ik mijn LinkedIn account niet meer, maar de gegegevens staan wel nog op een site waarop ik nooit registreerde (yatedo.com).
Dus zijn er wel wat kopieën van die info op het web. Mogelijk halen ze daar hun data?
Lijkt van niet aangezien zeal vanaf januari van dit jaar actief zijn op Twitter.
bron: https://twitter.com/SellHack

Als het waar is lijkt het me een kansloze onderneming. Je kunt een plugin volgens mij niet offline laten halen omdat jij de werking ervan niet leuk vindt. :)
Maar als je de werking niet kent en de werking in twijfel trekt kan je wel adviseren hem niet te gebruiken.
Roepen dat ze regels overtreden ligt eerder aan hun a/v dan aan de plugin natuurlijk, maar als die plugin vraagt om jouw LinkedIn-gegevens is het sowieso niet verstandig hem te gebruiken. De kans is heel groot dat de plugin is gemaakt om jouw gegevens op te slaan en verder te kunnen delen in plaats van om mensen te helpen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True