Все описанные способы были отправлены «Вконтакте» через hackerone, но «Вконтакте» решили, что эти способы не являются проблемами. Решение было принято через 6 месяцев после изменения статуса репорта на «Triaged». Я пытался переубедить, но ответа не увидел.
Многие продемонстрированные ссылки у вас работать не будут, т. к. они разные для всех.
Деанонимизация руководителей сообществ
Через видеозаписи
При ограниченном доступе добавлять новые видеозаписи могут только редакторы и администраторы сообщества.
На странице видеозаписей сообщества есть вкладка «Загруженные», в которой отображаются только видео, загруженные с компьютера. Если видеозаписи сообщества ограничены, то во вкладке «Загруженные» отображаются видеозаписи, которые загрузили руководители. Проблема в том, что прямые ссылки на видеозаписи содержат идентификатор загрузчика. Посмотрев идентификаторы можно деанонимизировать руководителей.
Пример на созданном сообществе: vk.com/club143400909.
Основы OSINT. Примеры деанона
Также есть возможность деанонимизировать руководителя по обложке от видео с другого источника (youtube, rutube и др.). В ссылке на обложку содержится идентификатор первого загрузчика этого видео на vk.com, т. е. этим способом можно деанонимизировать только зная, что видео загрузил руководитель и он был первый. Это может быть результат конкурса или что-то еще.
Через аудиозаписи
Проблема в том же. Прямая ссылка на аудиозапись содержит идентификатор загрузчика. Нигде не отображается, добавлена аудиозапись из поиска или загружена с компьютера, поэтому этим способом можно деанонимизировать только зная, что аудиозапись загрузил руководитель. Такие аудиозаписи могут выделяться (запись эфира с радио и т. п.).
Пример на сообществе vk.com/meduzaproject.
Аудиозапись: «Медуза» – Как узнать, сколько стоят «фужеры» Собянина?
Прямая ссылка: psv4.userapi.com/c613316/u1564856/audios/1cb08ff13792.mp3
Руководитель: vk.com/id1564856
Через документы
Прямая ссылка на документ содержит идентификатор загрузчика. Зная, что документ загрузил руководитель можно деанонимизировать. Многие загружают информацию о проводимых конкурсах, правила группы.
Пример на созданном сообществе vk.com/club143400909.
Документ: 1.ts
Прямая ссылка: cs7064.userapi.com/c812339/u237115941/docs/c134bbccadba/1.ts
Если документ является изображением, то можно деанонимизировать по маленькой копии.
Документ: G.png
Ссылка на маленькую копию: pp.userapi.com/c812235/u237115941/-3/m_56c1679b77.jpg
Видим, что руководитель vk.com/id237115941.
По концу идентификатора
Этот способ можно комбинировать с другими способами. Прямая ссылка на загруженное изображение содержит конец идентификатора загрузчика. Можно получить список всех участников сообщества и отобрать тех, у кого конец совпадает. Если сообщество маленькое, то скорее всего в результате будет 1 страница, если большое, то несколько, но там точно будет руководитель.
Деанон на ЗОУРУМА | НЕДОСТАНДОФЕР | Слив
Также можно деанонимизировать автора записи, если в записи есть загруженное изображение. Если сообщество большое и в результате отбора много идентификаторов, то можно получить список нажавших «мне нравится» записи и отобрать (вдруг автор нажал).
Прямая ссылка на фотографию группы: pp.userapi.com/c836123/v836123941/2362f/5TA-jc1s8Q0.jpg
Конец идентификатора: 941
Руководитель сообщества vk.com/id237115941.
Деанонимизация главного администратора приложения
В настройках приложения можно загружать иконку приложения 16×16, которая после загрузки получает ссылку, в которой присутствует идентификатор страницы администратора. В ссылке на иконку всегда отображается идентификатор главного администратора, даже если иконку загрузил неглавный администратор, а другой пользователь-руководитель с правами. Также раскрыв администратора приложения, вы еще раскрываете руководителя сообщества приложения, т. к. группу в настройках приложения можно установить, если являешься в ней руководителем.
Источник: www.liveinternet.ru
Деанонимизация для домохозяек
Привет, %username%! Думаю, ты наверняка сталкивался с ситуацией, когда нужно было добыть информацию о человеке, имея на руках лишь ник/почту/скайп/etc. Считаешь, это нереально и анонимность онлайн все-таки существует? Тогда смотри, как, не используя специсточники (телефонные справочники, базы сотовых операторов), можно вычислить практически любого индивидуума. Ведь в наше время оставаться анонимным можно только одним способом — уйдя жить в лес.
Who is who
Оставим за рамками статьи причины, по которым иногда приходится собирать информацию о человеке, и акцентируем внимание на способах, которые могут нам в этом помочь. Начнем с того, что у многих есть свои сайты или блоги и, быть может, даже на своем домене. Раньше, до появления Private Person, большинство владельцев доменов при регистрации указывали свои реальные данные.
К сожалению, сейчас whois информация домена не имеет практически никакой ценности, так как не позволяет напрямую связаться с админом сайта. Максимум, что можно почерпнуть оттуда, — данные о регистраторе, который, возможно, поможет связаться с админом, но скорее всего — нет.
Вдобавок наше правительство борется за сохранность персональных данных и говорит: мол, не имеет право регистратор показывать приватные данные пользователя. Именно поэтому международная организация ICANN сейчас пересматривает whois в целом и обещает его модернизацию. А пока мы можем только посмотреть историю whois, в чем нам помогут такие сервисы, как 1stat.ru (к сожалению, не обновляется с 2012 года, да и смысла особо нет, private person же!), whoishistory.ru (не показывает некоторые данные, но email можно узнать) и подобные. Суть их такова: можно вбить домен и посмотреть email и телефон владельца, если он их указывал до того, как изменил регистрационную информацию на Private Person. А можно еще проще — на большинстве блогов/сайтов есть раздел «Контакты», где ты найдешь ICQ, Skype или email (эти данные также могут быть доступны на форумах и сайтах, где тусуется аноним).
Другие статьи в выпуске:
Хакер #181. Вся власть роботам!
- Содержание выпуска
- Подписка на «Хакер» -60%
Поиск. Обычный поиск
Следующий вариант — обычный поиск. Это, в общем-то, основы основ, и, наверное, ты и без меня все знаешь, но если что-нибудь забыл — я подскажу. Посмотри в поисковиках, где зарегистрирован, чем интересуется, с кем общается, есть ли дополнительная информация, например альтернативные ники и средства связи. Кстати, Яndex в этом плане не уступает по количеству информации Google, а в некоторых случаях и опережает (опять же не забывай про people.yandex.ru).
Не стоит недооценивать и обычный поиск по ICQ, для этого бежим на people.icq.com, пробуем искать по имени или уже известному номеру аськи, обычно там можно найти дату рождения и имя. Если данные не сфальсифицированы — нетрудно будет по ним найти профили в соцсетях. Также стоит дополнительно поискать в Skype, очень часто к нему прикреплен номер телефона, а если не указан город, можно посмотреть в настройках местное время анонима и тем самым сузить местоположение по часовому поясу.
Учись работать с информацией и находи ей правильное применение, импровизируй и не забывай про социальную инженерию. Можно потратить кучу времени в поисках хозяина почтового ящика, а можно просто ему написать (ну например, с предложением работы). Можно сутками сидеть в поисках хозяина телефонного номера, а можно просто позвонить, не правда ли? Но если это не твой вариант — тогда читай дальше, сейчас мы будем рассматривать, что можно узнать о человеке по одному лишь мылу/телефону.
WWW
Рекомендую ознакомиться с интересным докладом Алексея Синцова «Сражаясь с анонимностью»
Gmail нам поможет
Для начала создай аккаунт в Gmail и добавь в контакты своего анонима (так и назови — аноним, заполни поле с мылом и укажи телефон, если есть, конечно). Нужно вычислить сразу несколько человек? Еще лучше! Сейчас будем пробивать людей оптом.
Ну а если ты сделал, как я тебя просил, и добавил в гугл мыло анона (ну или множество email’ов), то делаем следующее: заходим в vk.com/friends?act=find и выполняем поиск друзей через Gmail и сервисы. VK сам произведет импорт контактов и выдаст список ссылок на найденные аккаунты. Однако для того, чтобы узнать, кто есть кто, лучше все-таки добавлять контакты по одному.
В Facebook аналогичную функцию выполняет страничка «Пригласить друзей», справа внизу окно «Добавить личные контакты», а там «Другая электронная почта». Готово? А теперь идем на LinkedIn и также импортируем контакты — https://www.linkedin.com/fetch/importAndInviteEntry . И тут не нашлось? Тогда давай проверим, вдруг у искомого друга есть кошелек WebMoney!
Заходим на contacts.webmoney.ru (для этого даже не нужно иметь WebMoney-аккаунта) — и производим поиск там. В отличие от соцсетей, если WebMoney находит подтвержденный аккаунт, то там будет достоверная информация, таким образом можно спалить адрес и телефон, что не может не радовать!
Социальные сети — источник информации
Кто-то использует соцсети для общения, для связи с родными, кто-то троллит там мирных обывателей, скрывая свои комплексы за маской анонимуса, кто-то слушает музыку и смотрит веселые картинки, играет в приложения и собирает лайки. Но в любом случае у большинства людей так или иначе там есть аккаунты. Кстати, а ты есть в соцсетях, %username%? А есть скайп позвонить?
А если найду? Так, о чем это я… А, вот, в отличие от лицокниги, vk.com жадный, не хочет просто так восстанавливать номер телефона — мол, введите фамилию. Но чтоб его задобрить, просто переходим в мобильную версию — да-да, m.vk.com снова работает без фамилии, только тсс… (на момент написания статьи данная фича еще работала, сейчас, к сожалению, ее уже прикрыли). Тыкаем «Восстановить пароль», вводим email или мобилку, смотрим, есть ли объект в соцсети. Ну насчет VK понятно, перейдем теперь к его зарубежному прародителю.
Вот чем мне нравится Facebook, так это своим отношением к людям. Разработчики там добрые, да и сама соцсеть получилась такая белая и пушистая. Зайдя в Facebook’е на страницу восстановления пароля, ты можешь ввести email или номер телефона, и он тебе по-братски выдаст фотографию и имя, спросит, восстанавливаем по телефону или лучше по email? Все для людей — красота!
Допустим, нам повезло, и мы нашли имя и фото/аватарку анонима в обеих соцсетях, заходим в поиск и ищем его страницу. Манипулируя при этом с возрастом, можно узнать дату и год его рождения. А теперь пошли смотреть его аватарки! Вообще, полученные фотографии могут засветиться в любом другом месте, поэтому не упускай возможность поиска по фотке — в этом нам поможет Google (поиск по картинкам) и TinEye. Разумеется, если фотография не картинка с маской Гая Фокса, то способ вполне может сработать и привести тебя на какой-нибудь другой сайт, который может раскрыть дополнительную информацию об объекте.
INFO
Еще интересную информацию можно найти на таких популярных сайтах, как:
- sprashivai.ru (даже не спрашивай, что это) — авторизация там происходит через VK, и ссылка указана прямо в профиле;
- kinopoisk.ru, lastfm.ru — также интеграция с соцсетями, ссылки на профили.
Мыло через Skype
Я уже говорил, что Facebook — няша? Участвуя в bug bounty от этой социалки, я приятно удивился, что, когда я две недели не отправлял им свои реквизиты после найденных багов, они напоминали про оплату. В общем, очень доброжелательные ребята.
Но, помимо всего прочего, FB — это такой склад информации о людях, что АНБ может даже не запрашивать информацию — пользователи и так сами все расскажут о себе. Вот, например, еще один способ деанона — Skype. Скайп сейчас очень популярен, он отодвинул прочие мессенджеры в сторонку, хотя давно есть аналоги, которые дешевле, быстрее, безопаснее и лишены рекламы.
Но что поделать, общество выбрало именно его. Так вот, Facebook дает возможность узнать, на какой email зарегистрирован Skype. На прошлом шаге ты, наверное, уже обратил внимание на менюшку Skype? Возвращайся туда и вбивай данные. Не забудь для этого зарегистрировать Skype-аккаунт и добавить в список контактов анонима.
Интересно то, что аноним может даже отклонить авторизацию или вовсе проигнорировать, но он останется в списке контактов — поэтому фича сработает. Соцсеть, конечно же, предложит пригласить все импортированные контакты, но нам это надо? Нет. Поэтому отказываемся и переходим по ссылке управления импортированными контактами — https://www.facebook.com/invite_history.php . ТАДАМ!
Там будет список из логина к Skype и email’а. Не пугайся, что email видно не полностью, — просто кликни по нему, Facebook предложит ввести капчу (ну чтоб не парсили сотнями), и мыло отобразится полностью.
INFO
Некоторое время назад Дмитрий Евтеев уже писал об интересном моменте, когда Facebook + VK могут отдать твой номер телефона.
В таком поиске очень хорошо помогает Google, любимый многими хакерами поисковик. В отличие от Яндекса, он индексирует все подряд ресурсы, на которых должным образом не настроен robots.txt, а все благодаря браузеру Chrome (ух, шпион). Так вот, если аноним им пользуется, можно применить следующий dork: site:vk.com inurl:login?act=mobile Социальные сети => Голоса ВКонтакте, вводим номер телефона, и терминал спрашивает: «Это вы? Пупкин Василий (id123)», записываешь ID и нажимаешь «Нет».
Эх, вот бы отснифать, что он там посылал :).
Фичи с банками
Черт возьми, всего десяток лет назад мобильным телефоном мог похвастаться только мажор (я в свою очередь хвастался пейджером), а теперь это необходимое устройство для повседневной жизни. Сейчас к телефону привязаны не только социальные сети, но и различные сервисы и услуги. Вот, например, банки.
Я пользуюсь Сбербанком (цыц, не реклама!), и у меня есть прекрасная фича — перевод с карты на карту через SMS. Это на самом деле полезная фича — вот звонит тебе друг и говорит: «Бро, одолжи срочно пять тыщ рублей до зарплаты», а ты находишься в другом конце города (а то и в другом городе), но человеку реально нужно помочь.
Поэтому мы такие берем и отправляем SMS, при этом деньги с карты переводятся на карту друга. Круто, правда? Но, помимо прочего, этого еще один прекрасный способ деанонимизации.
Сценарий таков: пытаемся перевести 100 рублей на номер анонима — отправляем ПЕРЕВОД 9150000000 100 , в ответ приходит SMS — «Для перевода 100 рублей на карту получателя Василий Васильевич П. отправьте код 12345 на номер 900». Не бойся, деньги не уйдут, пока ты не отправишь полученный код обратно. Для получения полного списка команд нужно отправить слово Help на этот же номер, но там вроде более ничего интересного нет. Я думаю, что Сбербанк не один такой, а если и один, то скоро такую фичу введут в других банках, ибо удобно!
Опасные связи
Родственные связи, друзья и коллеги также могут помочь деанонимизировать. Например, если ты аноним в Facebook’е, но зарегистрирован под реальным именем в «Одноклассниках», можно найти родственников, лучших друзей в другой соцсети и поискать рядом. Изучай человека, осмотри его окружение, порой можно обратиться к друзьям анонима, сказать, что срочно нужно выйти с ним на связь. Кстати говоря, на ZeroNights 2013 был конкурс на инвайт, где нужно было найти мое имя по нику — Bo0oM. Фейковое имя ВКонтакте нашли многие, а вот найти жену в «Одноклассниках» и посмотреть «замужем за …» догадались только двое.
Если тот чувак, которого ты ищешь, выходит в Сеть, есть еще один вектор — можно отправить ему ссылку, которая сделает редирект на твой профиль в одной из соцсетей, где показывается, кто заходил на страницу. А это те же «Одноклассники» («Мои гости»), LinkedIn («Кто просматривал ваш профиль»), ну и, конечно же, другие. Главное, чтобы он был авторизован в этой соцсети, а то получится не торт.
А вот для ВК можно создать специальное приложение. Для этого идем на соответствующую страницу — http://vk.com/editapp?act=create и выбираем «IFrame/Flash приложение». В iFrame можно засунуть ссылку на свой сайт, который и будет отслеживать referer’ы зашедшего народа, а в них как раз таки и будет передаваться ID гостей. По аналогии так же можно сделать и в Facebook, только для этого надо будет ознакомиться с https://developers.facebook.com/ .
А можно просто отправить юзеру ссылку на снифер, в виде смайлика в личку на форуме, на почту с темой «компромат», ну или в тех же приложениях. Еще одна фишка — некоторые современные мессенджеры (например, QIP 2012) поддерживают теги типа [img] . Если ты кинешь в аську или Jabber ссылку на свой снифер в этом теге, клиент попробует ее загрузить, тем самым ты получишь его IP. С помощью этих манипуляций ты хотя бы узнаешь его местоположение, а еще можно просканить его айпишку, в роутерах «закладок» — тьма, да и редко кто роутеры обновляет, даже если производители правят уязвимости. Но это уже относится совсем к другой теме…
FLASHBACK
ВКонтакте когда-то водилась такая фича — можно было встраивать в страницу групп Flash. При этом была возможность вставить такую флешку, которая следит за гостями, но, к сожалению, ее прикрыли.
Заключение
Я бы мог рассказать еще много интересных фич, например, как обойти использование прокси (с помощью Flash, Java), как пробить IP в Skype, но тебя же в гугле не забанили, правда? Поэтому давай просто подведем итоги. Как видишь, социальные сети и различные мессенджеры для тех, кто скрывает свою личность, — зло. В любом случае, кто ищет — тот всегда найдет. Запомни, %username%, аноним — сам себе враг, а поисковик — твой лучший друг.
Bo0oM
Security researcher, whitehat, bug bounty practicant, blogger, noob, script kiddie.
Источник: xakep.ru
Как защитить себя от деанона
В этой статье я расскажу как защитить себя от деанона. Да, статья не подходит под тему сайта, но я всё равно решил её опубликовать. В ней я расскажу достаточно подробно о том, как защитить себя от деанона, то есть не дать кому-либо получить вашу личную информацию, если вы этого не хотите. Эта статья сейчас актуальна как никогда, ведь с каждым годом я замечаю всё больше подобных случаев. Я и сам достаточно легко могу получить какую-либо информацию о человеке, но пользуюсь я таким достаточно редко, ибо считаю что это как-то низко что-ли.
В этой статье я расскажу как защитить себя от деанона. Да, статья не подходит под тему сайта, но я всё равно решил её опубликовать. В ней я расскажу достаточно подробно о том, как защитить себя от деанона, то есть не дать кому-либо получить вашу личную информацию, если вы этого не хотите. Эта статья сейчас актуальна как никогда, ведь с каждым годом я замечаю всё больше подобных случаев. Я и сам достаточно легко могу получить какую-либо информацию о человеке, но пользуюсь я таким достаточно редко, ибо считаю что это как-то низко что-ли.
Как защитить себя от деанона
Для начала хотелось бы отметить, что практически всегда люди находят о вас именно ту информацию, которую вы сами и оставили. Так что лучше думайте, какие свои данные вы размещаете. Некоторым людям нежелательно размещать свою личную информацию, по которой их могут вычислить. Например, номер телефона, адрес, фотографию и другое. Будьте осторожны при размещении своих личных данных.
Чтобы узнать, какие данные о вас есть в поиске, просто введите в поиске ваши имя и фамилию, и смотрите.
Старые данные
Самый лёгкий способ, и, наверное, классический — поиск старого профиля человека в социальной сети «Одноклассники». Там обычно находятся наши старые детские фотографии, и другое. Но даже если вы их не размещали, то у вас скорее всего будут указаны в профиле ваши родственники.
И если же у вас был не указан, например, город, то просмотрев профили ваших родственников, «злоумышленник» узнает его, а также много другой вашей личной информации. Чтобы не допустить этого вы можете удалить свои старые аккаунты в социальных сетях. Либо же, если вы не хотите удалять его, то вам стоить убрать хотя бы часть заполненных данных, таких как — город и школа. Также желательно убрать фотографии. Этого будет достаточно, чтобы «злоумышленник» не смог быть на 100% уверен, что это ваш аккаунт.
Никнеймы
Также если вы указывали различных сайтах ваши имя и фамилию, то их стоит заменить на никнеймы, это поможет защитить вас от «опознания». Но вы должны понимать, что информация в поиске изменится не сразу. Нужно подождать какое-то время, чтобы она обновилась. Ещё вы можете указывать на разных сайтах разные никнеймы, чтобы профили на разных сайтах «злоумышленник» не мог связать друг с другом.
Фейковый аккаунт
Чтобы не пришлось делать всех этих долгих действий, а также полностью защитить себя от деанона, вы можете просто сделать фейковый аккаунт, либо же «фейк». Фейк — это дополнительный аккаунт. Вы можете назвать его как никнейм, либо же по классике «Name Surname», «Имя Фамилия» и так далее. Либо же вы можете записать своё настоящее имя, а фамилию выбрать чужую.
Ну и конечно же не нужно на фейке выкладывать одни и те же фотографии, что и на основном аккаунте, да и вообще не стоит выкладывать личные фотографии, об этом будет написано ниже. Также не стоит добавлять свой основной аккаунт в друзья, хотя это не играет большой роли, но ваши знакомые, при просмотре фейка, могут увидеть, что у вас с ним один общий друг — ваш основной аккаунт. И начнут вас расспрашивать. Такие дела.
IP Логгеры
Существуют сайты, на которых можно получить ссылку, а после отправить её потенциальный «жертве». После перехода по ней человек попадает на какую-то страницу, которая была указана в логгере, а «злоумышленник» узнаёт о нём информацию — IP адрес, с какого он города и другую. Обычно такие ссылки маскируют различными способами.
Так что лучше не переходить по ссылкам на какие-то неизвестные сайты от людей, которым вы не доверяете, либо же использовать для этой цели VPN, либо другие средства скрытия IP адреса. Да и вообще вы можете перейти на сайт, который «заберёт» у вас доступ к вашему аккаунту, поэтому нужно быть осторожным. Даже если вы полностью доверяете человеку, это не отменяет того факта, что его могли взломать.
Личные фотографии
Разбирая вопрос о том, как защитить себя от деанона, хотелось бы обязательно затронуть тему личных фотографий. По фотографиям, где изображены вы, могут сделать поиск, и найти схожие. И если они размещены и в ваших других профилях, например в основном, то считайте что опытный деанонер нашёл ваш основной профиль. Поэтому не стоит кидать вашу фотографию кому попало, если вы не хотите чтобы ваши данные были раскрыты кем-то нежелательным.
Социальная инженерия
Я считаю, что это основа основ, о которой даже говорить не нужно. Но всё равно упомяну и это. Не стоит сообщать вашу личную информацию кому попало. Если вы не хотите раскрывать своих данных, но при этом сообщаете свои данные всем подряд, кидаете свои фотографии во всякие беседы, то ваши шансы остаться анонимным крайне малы.
Если у вас спрашивают в каком городе вы живёте, а вы не хотите говорить, то и не нужно этого делать. Так и напишите, что не хотите раскрывать личную информацию, и всё. Ничего такого в этом нет, вполне обычное дело.
Скрытые друзья ВКонтакте
И на последок хотелось бы написать и об этом. Для многих хорошо продвинутых пользователей давно не секрет, что так называемые скрытые друзья в социальной сети ВКонтакте на самом деле никакие не скрытые. Их могут узнать. Так что порой скрытие друзей приносит только вред, если вы имеете дело с опытным деанонером.
Скрытые друзья не определяются только в том случае, если у вас, а также у человека, которого вы скрыли, закрытые профили. Если они закрыты, то определить скрытых друзей нельзя.
Итог
Я надеюсь что помог вам улучшить знания о том, как сохранить свои личные данные, и не дать «злоумышленникам» получить их. Вряд-ли я когда-либо ещё напишу статью об безопасности и конфиденциальности в интернете. Эту статью я написал лишь потому, что многие пользователи не знают и о половине того, что написано в этой статье. Теперь будут знать. На этом всё.
Источник: www.prtime.ru