Посмотрите, сколько всего можно узнать о пользователе через один клик в браузере

Не имея доступа к базам спецслужб или взлома крупных сервисов, созданных для хранения персональной информации.

Мой старый знакомый хакер Bo0oM на фоне истории с уязвимостью у «МаксимаТелеком» объединил несколько инструментов и техник, чтобы визуализировать, как легко собрать максимальное количество данных о пользователе просто через открытие страницы в браузере. Ниже ссылка на сайт, который демонстрирует работу этих объединённых техник: открывайте с десктопа на свой страх и риск, но Bo0oM утверждает, что отображаемые там данные он не сохраняет и не использует (да и не очень понятно, зачем они ему).

Я мало что понимаю в этих техниках, но Bo0oM говорит, что использовал измененную версию p0f от ValdikSS, известную ранее технику по поиску скачек с торрентов, детектор социальных сетей через favicon, обнаружение локального IP-адреса через Webrtc, а также интеграцию с DMP Facetz, чей ключ API лежал в открытом доступе.

В моём случае сайт показал небольшую историю посещений сайтов, полную информацию об IP и операционной системе, а в подвале сайта нашлось несколько полезных ссылок на информацию, которую уже собрали инструменты Google, YouTube и Twitter.

Вышло не очень впечатляюще, но по словам Bo0oM я, видимо, редко пользуюсь «ВКонтакте» — а так демосервис может показать даже конкретные загрузки порно с торрентов, фотографии, любимые страницы во «ВКонтакте» и историю изменений IP-адресов. С мобильных Chrome и Safari сервис почему-то не сработал.

Кто ещё удивляется утечкам данных, могут посмотреть, что обычно видно владельцу сайта при посещении пользователя. На сайте объединены различные техники сбора данных, которых даже без учета clickjacking-методов по деанонимизации социальных сетей достаточно для того, чтобы задуматься.

По мнению хакера, никакой анонимности в интернете нет: все сайты записывают хотя бы минимальную информацию о посещающих их пользователях, а потом обмениваются ими с другими сайтами через различные сервисы и скрипты — рекламные баннеры, виджеты соцсетей, сервисы статистики, подключаемые шрифты. И даже если стирать свои cookie, менять IP и выходить в интернет со стиральной машинки с консолью, данные о посещениях есть у провайдера, а слишком большие усилия по собственной деанонимизации тоже могут привлечь внимание заинтересованных лиц.

blog comments powered by Disqus

Добавить комментарий



Последние посты

Авторы