Посмотрите, сколько всего можно узнать о пользователе через один клик в браузере
Не имея доступа к базам спецслужб и без взлома крупных сервисов, созданных для хранения персональной информации.
Мой старый знакомый хакер Bo0oM на фоне истории с уязвимостью у «МаксимаТелеком» объединил несколько инструментов и техник, чтобы визуализировать, как легко собрать максимальное количество данных о пользователе просто через открытие страницы в браузере. Ниже ссылка на сайт, который демонстрирует работу этих объединённых техник: открывайте с десктопа на свой страх и риск, но Bo0oM утверждает, что отображаемые там данные он не сохраняет и не использует (да и не очень понятно, зачем они ему).
Я мало что понимаю в этих техниках, но Bo0oM говорит, что использовал изменённую версию p0f от ValdikSS, известную ранее технику по поиску скачек с торрентов, детектор социальных сетей через favicon, обнаружение локального IP-адреса через Webrtc, а также интеграцию с DMP Facetz, чей ключ API лежал в открытом доступе.
В моём случае сайт показал небольшую историю посещений сайтов, полную информацию об IP и операционной системе, а в подвале сайта нашлось несколько полезных ссылок на информацию, которую уже собрали инструменты Google, YouTube и Twitter.
Вышло не очень впечатляюще, но по словам Bo0oM я, видимо, редко пользуюсь «ВКонтакте» — а так демосервис может показать даже конкретные загрузки порно с торрентов, фотографии, любимые страницы во «ВКонтакте» и историю изменений IP-адресов. С мобильных Chrome и Safari сервис почему-то не сработал.
Кто ещё удивляется утечкам данных, могут посмотреть, что обычно видно владельцу сайта при посещении пользователя. На сайте объединены различные техники сбора данных, которых даже без учета clickjacking-методов по деанонимизации социальных сетей достаточно для того, чтобы задуматься.
По мнению хакера, никакой анонимности в интернете нет: все сайты записывают хотя бы минимальную информацию о посещающих их пользователях, а потом обмениваются ими с другими сайтами через различные сервисы и скрипты — рекламные баннеры, виджеты соцсетей, сервисы статистики, подключаемые шрифты. И даже если стирать свои cookie, менять IP и выходить в интернет со стиральной машинки с консолью, данные о посещениях есть у провайдера, а слишком большие усилия по собственной анонимизации тоже могут привлечь внимание заинтересованных лиц.
#технологии #кибербезопасность