Как сделать деанон на человека в вк

Личные данные

Никнейм, имя-фамилия, дата рождения, телефон, адрес, образование, служба, ИНН (SSN), и.т.д. Чаще известно лишь что-то одно, но зачастую этого достаточно чтобы начать.

Идем в Google. Отправная точка большинства расследований. По нику Google выдаст аккаунты человека в играх или на форумах, которые часто раскрывают нам другие данные. Steam вот знает под какими еще никами человек играет, форумы отображают дату рождения. Учебные учреждения часто публикуют списки учащихся. Одно «но» — не бросайтесь сразу доверять найденному. Как часто вы вводите вместо даты рождения на форумах что-то типа 01-02-1983? Вот и я тоже.

Не забывайте про поисковые операторы. Поиск по «filetype:doc» (или xls, pdf) может помочь, если человек участвовал в каких-нибудь олимпиадах или соревнованиях. Учебные заведения часто публикуют их результаты на сайтах, не особо думая о приватности. Американских или евро-студентов можно найти по фильтру «site:.edu», который будет искать по сайтам в зоне университетов.

Социальный поиск и глубокая паутина. Крупные поисковики хоть и договорились с соцсетями индексировать их данные, но часто это лишь имя-фамилия и пара строк биографии. Социальные сети до сих пор остаются практически DeepWeb’ом для исследователей, на сайте расследований FirstDraftNews написана целая статья для иностранцев как зарегаться в ВК чтобы проще вести расследования.

Поиск Facebook, VK, Twitter — главные отправные точки. Их возможности огромны: поиск по нечеткому имени, возрасту, учебе и службе.

Объяснения тут излишни, формы поиска говорят сами за себя. Фильтровать по городу, возрасту и другим данным труда не составит. Но есть и некоторые неочевидные вещи. Из того, чем часто пользуюсь я: Facebook позволяет искать по номеру телефона, даже если пользователь у вас не в друзьях — новая «база телефонов» с Горбушки. твитер поможет найти не только пользователя, но и всех, кто отвечал ему в реплаях или упоминал в определенные даты. Если знаете еще подобные неочевидные фичи — пишите в комменты под этим абзацем.

Мета-поисковики и агрегаторы. В России самый популярный — people.yandex.ru, за рубежом есть PeekYou и аналоги, которые легко нагуглить по запросу «people search». Базы и возможности у них скудные, чаще всего джентльменский набор это имя и город. Но их плюсом является то, что они часто находят связанные аккаунты в других социальных сетях, о которых вы могли даже не догадываться.

Документы и открытые данные

Помимо личного следа в социальных сетях, некоторые данные появляются в сети и без нашего ведома. Базы данных всяких министерств, коммунальщиков, госуслуг, росреестр, реестры юридических лиц, судебных приставов — всё это открывает дополнительные возможности для поиска. Например вы знаете, что ваша цель водит автомобиль, занимается предпринимательством или покупала квартиру — скорее всего какая-то информация об этих операциях легко доступна в сети.

Эти данные недоступны для поисковых систем, так как требуют ввода поискового запроса. Но эти базы часто использует тот же ФБК Навального, многие свои расследования они ведут через реестр госзакупок, росреестр (последнее про Медведева тоже) и платный сервис СПАРК, недавно прославившийся в истории с Лигой Школ.

Единого мирового хранилища таких данных, очевидно, нет. Если нужно найти человека за пределами РФ — ищите соответствующую базу. Частенько доступность личных данных в других странах может удивлять. На опыте собственных поисков могу сказать, что в Швеции и некоторых штатах США есть так называемые White Pages, где можно без особых усилий пробить такие махровые инсайды, что весь этот пост покажется ненужным. Вплоть до клички кота.

В США или Европе открытых данных очень много, в Азии и на Ближнем Востоке — поменьше. Вот еще несколько агрегаторов для примера.

Skipease — пока живая страничка с подборкой социальных поисковых систем по США. Там же на странице собран целый список альтернатив, они могут помочь в других странах.

Investigative Dashboard Search — поиск по документам и компаниям, аналог Спарка для интернациональных поисков. Хорошо работает и в России, особенно если человек входит в топы или занимается госзакупками. Вот так можно узнать, что Навальный в 2012 года входил в совет директоров Аэрофлота (но уже нет). Я вот не знал.

AVInfo — открытая база по автомобилям в России и их владельцам. Можно искать по госномеру, телефону владельца, VIN’у и получить много информации о предыдущих владельцах, проведенных ТО, страховках и техосмотрах. В базе больше 13 млн российских автомобилей, в основном правда московские и питерские.

На полную катушку используется автоподборщиками, так как кроме всего прочего агрегирует и сохраняет объявления с автору и дрома. Для них есть платный аккаунт с расширенными возможностями, но для большинства наших целей подойдет и бесплатный. Если кто-то еще не понял каких целей, то это даёт возможность по фотографии очередного «пацанчика рядом со своей четыркой» за один запрос узнать его мобильный телефон. А если на радостях он еще и выложил в Instagram фотографию техпаспорта или водительских прав у себя на лбу, как принято при получении, то здесь деанон может быть аж до домашнего адреса. Это наверное тема для отдельного поста.

Ну или более бытовой вопрос: узнать номер телефона предыдущего владельца машины, чтобы вежливо (!) спросить давно ли подвеску меняли. Если вы использовали какие-то еще подобные сервисы, делитесь опытом в комментариях ниже.

Фотографии

Места по фотографии мы искали в предыдущем посте, но эти инструменты зачастую подходят и для людей. Вид из окна может выдать координаты, а реверсивный поиск по изображению может привести на аватарку или альбом с фотографиями пользователя. На лепре или двачах так всегда находят всяких шкур в ВК, это проще простого.

Особняком здесь стоит поиск людей по фотографии. Первым подобным сервисом был Face.com, он находил даже неточные совпадения черт лица, но его быстренько купил и закрыл Facebook. Не буду опять шутить про Лукавого Марка, нашутились уже в предыдущем посте. Для ВК в прошлом году появился FindFace от N-Tech.Lab, делающий примерно то же самое, но под оберткой маркетингового инструмента. На его основе особенно бомбанул проект Егора Цветкова из петербургской «Бумаги», когда он он фотографировал незнакомых людей в метро и потом находил их профили в ВК, узнавая про их жизни многое по одной грустной фотографии.

Местоположение

IP адрес. «Вычислю по айпи» хоть и стало мемом, но от этого метод не стал менее рабочим. Через базу GeoIP2 City хорошо определяется страна и город, где находится данный IP-адрес. Точность до города почти гарантирована, в своих проектах использую их базу уже года три. Сбои бывают только в редких случаях, когда какой-нибудь мобильные оператор решает перекинуть пул IP-адресов из одного региона в другой. Но это бывает раз пару лет и спокойно решается ежемесячным обновлением базы.

GeoIP выдаёт еще координаты, но предупреждает не использовать их как местоположение пользователя. Чаще всего это просто точка где-то в центре города или района провайдера. Но мы можем попытаться найти карту наносетей этого провайдера, по ней область поиска становится еще больше.

Но IP очень легко подделать, он никогда не является 100% доказательством. Прокси-серверы и тоннели типа VPN позволяют сделать это любому в один клик. Если человек хочет скрыть IP — это не составит труда. GeoIP выдаёт другую часть света — скорее всего он так и сделал, но всё же иногда это может быть зацепкой.

Другие фотографии пользователя. Получил права — налепи их на лоб и выложи, пусть все узнают серию и номер. Это уже было выше. Из менее очевидного — фотографии чеков из супермаркета, талонов электронной очереди или вида из окна. Определить адрес вплоть до этажа становится делом техники и желания, если это важно.

Здесь нет единого совета. Любая информация с фотографии может стать зацепкой, смотрите внимательно на окружение.

Гео-поиск. Во всех популярных социальных сетях есть геометки. Фейсбук предлагает оставить «чекин» в самых разных местах, твитер прописывает ваши координаты к каждому твиту, ВК добавляет геотег к фотографиям из мобильных приложений. Иногда пользователь этого не замечает, а чтобы их подделать — нужно уметь в программирование. Для твитера есть GeoSocialFootprint, который анализирует последние геометки пользователя. Можно попробовать найти подобные сервисы для других соцсетей или перебрать эти данные вручную.

Есть и обратная возможность: искать твиты рядом с определенными координатами. Так запрос самолет geocode:48.035569,38.755646,40km since:2014-07-17 until:2014-07-18 выдает первые фотографии с места крушения Боинга под Донецком.

Круг общения и коммуникации

Если человек спрятал свой аккаунт под замок, социальные сети стараются скрыть как можно больше данных. Но чаще всего не могут сделать это полностью. Тот же Twitter скрывает от чужих глаз ленту и подписчиков, но позволяет легко найти все публичные упоминания и реплаи пользователю.

Вконтакте тоже, причем ищет даже в ссылках и метаданных. Но если аккаунт человека известен, то по его ID можно найти куда больше информации о круге общения. Попробуйте вбить свой ID в URL, узнаете много интересного.

Facebook хоть и выпилил Graph Search, всё равно позволяет себе некоторые вольности. Есть сайт graph.tips, который знает куда фейсбук спрятал доступные поисковые запросы. Для меня с удовольствием расскажет всем места, которые я посещал или фотографии, которые комментировал.

Благодаря этому появляются агрегаторы типа SocialMention, которые могут делать это одновременно по нескольким социальным сетям. Но их возможности ограничены, а закрываются они так быстро, что уже через пол года эта ссылка может быть нерабочей.

Если персонаж молчит или даже закрыл аккаунт от посторонних — его друзья могут быть гораздо более общительны, выдавая его просто самим фактом своего присутствия. Так мы однажды в рамках детективного Вастрик.Чата нашли владельца закрытого аккаунта, когда пробежались по списку людей, с которыми он взаимодействовал в твитере. Найдя каждого их них в ВК оставалось только соотнести их списки друзей. Можно найти уже готовые решения анализа таких социальных пересечений. Лично мне известны для твитера и для ВК.

Интересы и группы

Помимо круга общения, яркими маркерами могут стать интересы. В личных аккаунтах мало кто думает об их фальсификации: если человек увлекается программированием или фотографией, то скорее всего в разных социальных сетях он будет подписан на группы по этим интересам. Если групп нет — подойдут лайки. Для ВК есть целая куча приложений, рекомендаций от меня тут не будет, их можно найти «смотреть лайки в вк». Есть сайты-шпионы, которые следят за активностью конкретных пользователей (сайт не проверен, может быть вредоносным).

Для других соцсетей дела обстоят сложнее. Facebook не показывает какие посты лайкнул пользователь, только группы. Поиск в Instagram тоже ничего не умеет, но есть сторонние сервисы типа One Million Likes, изначально созданные для продвижения и накрутки лайков, но полезные для нас. Для поиска комментариев Instagram хорошо индексируется гуглом, что позволяет найти всю публичную активность пользователя по фильтру «site:instagram.com».

В твитере есть Lists, куда ботописатели часто добавляют аккаунты по ключевым словам. Что еще удобнее, ведь выйти из листа нельзя. Написал твит про SEO — добро пожаловать в список сеошников навечно.

Дальнейшее использование списка групп и интересов ограничивается только вашим воображением. Если есть идеи — пишите ниже.

Челленж

Напоследок не хватает какого-то вызова или испытания, как в прошлый раз. С примерами было сложно, хоть здесь оторвёмся. Задача: найти мой аккаунт в ВК и добавиться в друзья. Не хотите в друзья — как-то еще сообщите мне лично, не важно, я всё равно туда не пишу. Прямые ссылки в комментариях к посту буду удалять, но как вычислили — пишите. В прошлый раз это было всем интересно.

Кто уже знает — молодцы, отдыхайте, думаю вас меньшинство. Ведь ВК я использую только для чтения, публично его не упоминал, а данные там не совпадают с реальными. Однако это возможно, используя информацию из поста. Посмотрим будет ли этот челленж сложнее предыдущего, а то жаловались, мол слишком просто вам. Погнали.

Заключение и ссылки

В этом посте я постарался совместить весь личный опыт с десятками прочитанных расследований и статей. Надеюсь вы узнали из поста хоть что-то новое про обыденные инструменты и методы их использования. Здесь нет никаких секретных архивов ФСБ или хитрых инструментов поиска. Хотя последние возможно будут появляться. Может даже я попробую что-нибудь такое запрограммировать.

Пока же для нас всех главным инструментом остаётся конечно же сайт передачи Жди Меня.

Ну и пара ссылок по теме:

• Расследование Bellingcat про «Rich Russian Kids», которое использовалось в качестве примера как человек может сам себя спалить.
• Красивое разоблачение авторов аккаунтов Fake_MIDRF в твитере (оригинал был утерян вместе с сайтом, это репост). Моя любимая часть — как вычисляли номер телефона. Оказывается разные сервисы скрывают звездочками разные цифры.
• Пост на схожую тематику на хабре. Нашел когда готовил материалы для статьи.

Подписывайтесь на рассылку, если еще не сделали этого. Будем разбирать конкретные расследования, новости по теме за неделю, и другие вещи, которых не хватает на полноценный пост, но нельзя не упомянуть. Надеюсь на максимальный фидбек.

Содержание статьи

Спорим, я угадаю, как тебя зовут?

Привет, %username%! Думаю, ты наверняка сталкивался с ситуацией, когда нужно было добыть информацию о человеке, имея на руках лишь ник/почту/скайп/etc. Считаешь, это нереально и анонимность онлайн все-таки существует? Тогда смотри, как, не используя специсточники (телефонные справочники, базы сотовых операторов), можно вычислить практически любого индивидуума. Ведь в наше время оставаться анонимным можно только одним способом — уйдя жить в лес.

Оставим за рамками статьи причины, по которым иногда приходится собирать информацию о человеке, и акцентируем внимание на способах, которые могут нам в этом помочь. Начнем с того, что у многих есть свои сайты или блоги и, быть может, даже на своем домене. Раньше, до появления Private Person, большинство владельцев доменов при регистрации указывали свои реальные данные. К сожалению, сейчас whois информация домена не имеет практически никакой ценности, так как не позволяет напрямую связаться с админом сайта. Максимум, что можно почерпнуть оттуда, — данные о регистраторе, который, возможно, поможет связаться с админом, но скорее всего — нет. Вдобавок наше правительство борется за сохранность персональных данных и говорит: мол, не имеет право регистратор показывать приватные данные пользователя. Именно поэтому международная организация ICANN сейчас пересматривает whois в целом и обещает его модернизацию. А пока мы можем только посмотреть историю whois, в чем нам помогут такие сервисы, как 1stat.ru (к сожалению, не обновляется с 2012 года, да и смысла особо нет, private person же!), whoishistory.ru (не показывает некоторые данные, но email можно узнать) и подобные. Суть их такова: можно вбить домен и посмотреть email и телефон владельца, если он их указывал до того, как изменил регистрационную информацию на Private Person. А можно еще проще — на большинстве блогов/сайтов есть раздел «Контакты», где ты найдешь ICQ, Skype или email (эти данные также могут быть доступны на форумах и сайтах, где тусуется аноним).

История whois сайта журнала

Хакер #181. Вся власть роботам!

Следующий вариант — обычный поиск. Это, в общем-то, основы основ, и, наверное, ты и без меня все знаешь, но если что-нибудь забыл — я подскажу. Посмотри в поисковиках, где зарегистрирован, чем интересуется, с кем общается, есть ли дополнительная информация, например альтернативные ники и средства связи. Кстати, Яndex в этом плане не уступает по количеству информации Google, а в некоторых случаях и опережает (опять же не забывай про people.yandex.ru).

Не стоит недооценивать и обычный поиск по ICQ, для этого бежим на people.icq.com, пробуем искать по имени или уже известному номеру аськи, обычно там можно найти дату рождения и имя. Если данные не сфальсифицированы — нетрудно будет по ним найти профили в соцсетях. Также стоит дополнительно поискать в Skype, очень часто к нему прикреплен номер телефона, а если не указан город, можно посмотреть в настройках местное время анонима и тем самым сузить местоположение по часовому поясу.

Учись работать с информацией и находи ей правильное применение, импровизируй и не забывай про социальную инженерию. Можно потратить кучу времени в поисках хозяина почтового ящика, а можно просто ему написать (ну например, с предложением работы). Можно сутками сидеть в поисках хозяина телефонного номера, а можно просто позвонить, не правда ли? Но если это не твой вариант — тогда читай дальше, сейчас мы будем рассматривать, что можно узнать о человеке по одному лишь мылу/телефону.

Рекомендую ознакомиться с интересным докладом Алексея Синцова «Сражаясь с анонимностью»

Для начала создай аккаунт в Gmail и добавь в контакты своего анонима (так и назови — аноним, заполни поле с мылом и укажи телефон, если есть, конечно). Нужно вычислить сразу несколько человек? Еще лучше! Сейчас будем пробивать людей оптом. Ну а если ты сделал, как я тебя просил, и добавил в гугл мыло анона (ну или множество email’ов), то делаем следующее: заходим в vk.com/friends?act=find и выполняем поиск друзей через Gmail и сервисы. VK сам произведет импорт контактов и выдаст список ссылок на найденные аккаунты. Однако для того, чтобы узнать, кто есть кто, лучше все-таки добавлять контакты по одному. В Facebook аналогичную функцию выполняет страничка «Пригласить друзей», справа внизу окно «Добавить личные контакты», а там «Другая электронная почта». Готово? А теперь идем на LinkedIn и также импортируем контакты — https://www.linkedin.com/fetch/importAndInviteEntry . И тут не нашлось? Тогда давай проверим, вдруг у искомого друга есть кошелек WebMoney! Заходим на contacts.webmoney.ru (для этого даже не нужно иметь WebMoney-аккаунта) — и производим поиск там. В отличие от соцсетей, если WebMoney находит подтвержденный аккаунт, то там будет достоверная информация, таким образом можно спалить адрес и телефон, что не может не радовать!

В WebMoney можно загрузить целый список для «пробива»

Кто-то использует соцсети для общения, для связи с родными, кто-то троллит там мирных обывателей, скрывая свои комплексы за маской анонимуса, кто-то слушает музыку и смотрит веселые картинки, играет в приложения и собирает лайки. Но в любом случае у большинства людей так или иначе там есть аккаунты. Кстати, а ты есть в соцсетях, %username%? А есть скайп позвонить? А если найду? 🙂 Так, о чем это я… А, вот, в отличие от лицокниги, vk.com жадный, не хочет просто так восстанавливать номер телефона — мол, введите фамилию. Но чтоб его задобрить, просто переходим в мобильную версию — да-да, m.vk.com снова работает без фамилии, только тсс… (на момент написания статьи данная фича еще работала, сейчас, к сожалению, ее уже прикрыли). Тыкаем «Восстановить пароль», вводим email или мобилку, смотрим, есть ли объект в соцсети. Ну насчет VK понятно, перейдем теперь к его зарубежному прародителю.

Вот чем мне нравится Facebook, так это своим отношением к людям. Разработчики там добрые, да и сама соцсеть получилась такая белая и пушистая. Зайдя в Facebook’е на страницу восстановления пароля, ты можешь ввести email или номер телефона, и он тебе по-братски выдаст фотографию и имя, спросит, восстанавливаем по телефону или лучше по email? Все для людей — красота!

Facebook — самая добрая и совершенно не жадная соцсеть

Допустим, нам повезло, и мы нашли имя и фото/аватарку анонима в обеих соцсетях, заходим в поиск и ищем его страницу. Манипулируя при этом с возрастом, можно узнать дату и год его рождения. А теперь пошли смотреть его аватарки! Вообще, полученные фотографии могут засветиться в любом другом месте, поэтому не упускай возможность поиска по фотке — в этом нам поможет Google (поиск по картинкам) и TinEye. Разумеется, если фотография не картинка с маской Гая Фокса, то способ вполне может сработать и привести тебя на какой-нибудь другой сайт, который может раскрыть дополнительную информацию об объекте.

Еще интересную информацию можно найти на таких популярных сайтах, как:

• sprashivai.ru (даже не спрашивай, что это) — авторизация там происходит через VK, и ссылка указана прямо в профиле;
• kinopoisk.ru, lastfm.ru — также интеграция с соцсетями, ссылки на профили.

Я уже говорил, что Facebook — няша? Участвуя в bug bounty от этой социалки, я приятно удивился, что, когда я две недели не отправлял им свои реквизиты после найденных багов, они напоминали про оплату. В общем, очень доброжелательные ребята. Но, помимо всего прочего, FB — это такой склад информации о людях, что АНБ может даже не запрашивать информацию — пользователи и так сами все расскажут о себе. Вот, например, еще один способ деанона — Skype. Скайп сейчас очень популярен, он отодвинул прочие мессенджеры в сторонку, хотя давно есть аналоги, которые дешевле, быстрее, безопаснее и лишены рекламы. Но что поделать, общество выбрало именно его. Так вот, Facebook дает возможность узнать, на какой email зарегистрирован Skype. На прошлом шаге ты, наверное, уже обратил внимание на менюшку Skype? Возвращайся туда и вбивай данные. Не забудь для этого зарегистрировать Skype-аккаунт и добавить в список контактов анонима. Интересно то, что аноним может даже отклонить авторизацию или вовсе проигнорировать, но он останется в списке контактов — поэтому фича сработает. Соцсеть, конечно же, предложит пригласить все импортированные контакты, но нам это надо? Нет. Поэтому отказываемся и переходим по ссылке управления импортированными контактами — https://www.facebook.com/invite_history.php . ТАДАМ! Там будет список из логина к Skype и email’а. Не пугайся, что email видно не полностью, — просто кликни по нему, Facebook предложит ввести капчу (ну чтоб не парсили сотнями), и мыло отобразится полностью.

Именно тут Facebook покажет тебе данные от Skype

Что еще касается почты, Яндекс ввел такую фичу, как (телефон)@yandex.ru, Google связал идентификаторы G+ (ну помнишь, социальная сеть для работников Google) с почтой. Просто ретрив (восстановление пароля) также применим к почте, советую это отдельно рассмотреть. А любимая многими mail.ru показывает номер телефона, кроме четырех последних цифр, что не есть гуд (но не для нас). Остальные цифры можно найти в других сервисах, например, Facebook и Google могут дать две недостающие цифры номера — но я уверен, что можно найти и все четыре :).

Mail.ru раскроет большинство цифр твоего телефона

Некоторое время назад Дмитрий Евтеев уже писал об интересном моменте, когда Facebook + VK могут отдать твой номер телефона.

В таком поиске очень хорошо помогает Google, любимый многими хакерами поисковик. В отличие от Яндекса, он индексирует все подряд ресурсы, на которых должным образом не настроен robots.txt, а все благодаря браузеру Chrome (ух, шпион). Так вот, если аноним им пользуется, можно применить следующий dork: site:vk.com inurl:login?act=mobile&hash и добавить его имя. Вот так можно узнать первые и последние цифры телефона.

А вообще, знаешь, в чем недостаток анонимов? Они — люди. А людям свойственно ошибаться. Чтобы быть полностью анонимным, нужно отказаться от всех плюшек, которые дарит жизнь, иначе вычислить объект будет проще простого. Они так же общаются со своими одноклассниками (одногруппниками, коллегами, но чаще — с одноклассниками :)). Вот, например, популярные сейчас приложения WhatsApp, Viber, Telegram Messenger — казалось бы, как добраться сюда? Зная номер телефона анонимного человека — добавляй его в контакты на смартфоне. Когда ты откроешь мобильный мессенджер, там уже будет его фотка и имя, которые он сам загрузил в приложение. Поживем — увидим, вдруг и там появится поиск друзей по email’у?

FLASHBACK

Еще один отличный деанон был в пробиве юзера через QIWI-терминал. Он отлично работал года три-четыре, но, видимо, из-за фазы луны и аномальной погоды эту возможность закрыли незадолго до публикации статьи. А суть была вот в чем. Заходим в QIWI => Социальные сети => Голоса ВКонтакте, вводим номер телефона, и терминал спрашивает: «Это вы? Пупкин Василий (id123)», записываешь ID и нажимаешь «Нет». Эх, вот бы отснифать, что он там посылал :).

Черт возьми, всего десяток лет назад мобильным телефоном мог похвастаться только мажор (я в свою очередь хвастался пейджером), а теперь это необходимое устройство для повседневной жизни. Сейчас к телефону привязаны не только социальные сети, но и различные сервисы и услуги. Вот, например, банки. Я пользуюсь Сбербанком (цыц, не реклама!), и у меня есть прекрасная фича — перевод с карты на карту через SMS. Это на самом деле полезная фича — вот звонит тебе друг и говорит: «Бро, одолжи срочно пять тыщ рублей до зарплаты», а ты находишься в другом конце города (а то и в другом городе), но человеку реально нужно помочь. Поэтому мы такие берем и отправляем SMS, при этом деньги с карты переводятся на карту друга. Круто, правда? Но, помимо прочего, этого еще один прекрасный способ деанонимизации. Сценарий таков: пытаемся перевести 100 рублей на номер анонима — отправляем ПЕРЕВОД 9150000000 100 , в ответ приходит SMS — «Для перевода 100 рублей на карту получателя Василий Васильевич П. отправьте код 12345 на номер 900». Не бойся, деньги не уйдут, пока ты не отправишь полученный код обратно. Для получения полного списка команд нужно отправить слово Help на этот же номер, но там вроде более ничего интересного нет. Я думаю, что Сбербанк не один такой, а если и один, то скоро такую фичу введут в других банках, ибо удобно!

Cбербанк тоже отлично раскрывает информацию

Родственные связи, друзья и коллеги также могут помочь деанонимизировать. Например, если ты аноним в Facebook’е, но зарегистрирован под реальным именем в «Одноклассниках», можно найти родственников, лучших друзей в другой соцсети и поискать рядом. Изучай человека, осмотри его окружение, порой можно обратиться к друзьям анонима, сказать, что срочно нужно выйти с ним на связь. Кстати говоря, на ZeroNights 2013 был конкурс на инвайт, где нужно было найти мое имя по нику — Bo0oM. Фейковое имя ВКонтакте нашли многие, а вот найти жену в «Одноклассниках» и посмотреть «замужем за …» догадались только двое.

Если тот чувак, которого ты ищешь, выходит в Сеть, есть еще один вектор — можно отправить ему ссылку, которая сделает редирект на твой профиль в одной из соцсетей, где показывается, кто заходил на страницу. А это те же «Одноклассники» («Мои гости»), LinkedIn («Кто просматривал ваш профиль»), ну и, конечно же, другие. Главное, чтобы он был авторизован в этой соцсети, а то получится не торт. А вот для ВК можно создать специальное приложение. Для этого идем на соответствующую страницу — http://vk.com/editapp?act=create и выбираем «IFrame/Flash приложение». В iFrame можно засунуть ссылку на свой сайт, который и будет отслеживать referer’ы зашедшего народа, а в них как раз таки и будет передаваться ID гостей. По аналогии так же можно сделать и в Facebook, только для этого надо будет ознакомиться с https://developers.facebook.com/ .

А можно просто отправить юзеру ссылку на снифер, в виде смайлика в личку на форуме, на почту с темой «компромат», ну или в тех же приложениях. Еще одна фишка — некоторые современные мессенджеры (например, QIP 2012) поддерживают теги типа [img] . Если ты кинешь в аську или Jabber ссылку на свой снифер в этом теге, клиент попробует ее загрузить, тем самым ты получишь его IP. С помощью этих манипуляций ты хотя бы узнаешь его местоположение, а еще можно просканить его айпишку, в роутерах «закладок» — тьма, да и редко кто роутеры обновляет, даже если производители правят уязвимости. Но это уже относится совсем к другой теме…

FLASHBACK

ВКонтакте когда-то водилась такая фича — можно было встраивать в страницу групп Flash. При этом была возможность вставить такую флешку, которая следит за гостями, но, к сожалению, ее прикрыли.

Я бы мог рассказать еще много интересных фич, например, как обойти использование прокси (с помощью Flash, Java), как пробить IP в Skype, но тебя же в гугле не забанили, правда? Поэтому давай просто подведем итоги. Как видишь, социальные сети и различные мессенджеры для тех, кто скрывает свою личность, — зло. В любом случае, кто ищет — тот всегда найдет. Запомни, %username%, аноним — сам себе враг, а поисковик — твой лучший друг.

Все описанные способы были отправлены «Вконтакте» через hackerone, но «Вконтакте» решили, что эти способы не являются проблемами. Решение было принято через 6 месяцев после изменения статуса репорта на «Triaged». Я пытался переубедить, но ответа не увидел.

Многие продемонстрированные ссылки у вас работать не будут, т. к. они разные для всех.

Деанонимизация руководителей сообществ

Через видеозаписи

При ограниченном доступе добавлять новые видеозаписи могут только редакторы и администраторы сообщества.

На странице видеозаписей сообщества есть вкладка «Загруженные», в которой отображаются только видео, загруженные с компьютера. Если видеозаписи сообщества ограничены, то во вкладке «Загруженные» отображаются видеозаписи, которые загрузили руководители. Проблема в том, что прямые ссылки на видеозаписи содержат идентификатор загрузчика. Посмотрев идентификаторы можно деанонимизировать руководителей.

Пример на созданном сообществе: vk.com/club143400909

Также есть возможность деанонимизировать руководителя по обложке от видео с другого источника (youtube, rutube и др.). В ссылке на обложку содержится идентификатор первого загрузчика этого видео на vk.com, т. е. этим способом можно деанонимизировать только зная, что видео загрузил руководитель и он был первый. Это может быть результат конкурса или что-то еще.

Через аудиозаписи

Проблема в том же. Прямая ссылка на аудиозапись содержит идентификатор загрузчика. Нигде не отображается, добавлена аудиозапись из поиска или загружена с компьютера, поэтому этим способом можно деанонимизировать только зная, что аудиозапись загрузил руководитель. Такие аудиозаписи могут выделяться (запись эфира с радио и т. п.).

Через документы

Прямая ссылка на документ содержит идентификатор загрузчика. Зная, что документ загрузил руководитель можно деанонимизировать. Многие загружают информацию о проводимых конкурсах, правила группы.

Если документ является изображением, то можно деанонимизировать по маленькой копии.

По концу идентификатора

Этот способ можно комбинировать с другими способами. Прямая ссылка на загруженное изображение содержит конец идентификатора загрузчика. Можно получить список всех участников сообщества и отобрать тех, у кого конец совпадает. Если сообщество маленькое, то скорее всего в результате будет 1 страница, если большое, то несколько, но там точно будет руководитель. Также можно деанонимизировать автора записи, если в записи есть загруженное изображение. Если сообщество большое и в результате отбора много идентификаторов, то можно получить список нажавших «мне нравится» записи и отобрать (вдруг автор нажал).

Деанонимизация главного администратора приложения

В настройках приложения можно загружать иконку приложения 16×16, которая после загрузки получает ссылку, в которой присутствует идентификатор страницы администратора. В ссылке на иконку всегда отображается идентификатор главного администратора, даже если иконку загрузил неглавный администратор, а другой пользователь-руководитель с правами. Также раскрыв администратора приложения, вы еще раскрываете руководителя сообщества приложения, т. к. группу в настройках приложения можно установить, если являешься в ней руководителем.

Читают сейчас

Похожие публикации

• 10 февраля 2016 в 15:23

Уязвимость ВКонтакте: доступ к превью фотографий из диалогов и скрытых альбомов любого пользователя

Концепция редизайна vk.com

Запуск приложения во Вконтакте

Вакансии

AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Комментарии 26

правильно я понимаю, что:

Способы анонимизации руководителей сообществ и приложений «Вконтакте»
1) регаем подставное лицо
2) через него всё заливаем/публикуем приложение/whatever
3) делегируем все права живому человеку на другом акке
4)…
5) ПРОФИТ

да? 🙂 можно приступать к написанию статьи?

P.S.: я не особо пользователь вконтакте

По сути история это боян бояном. Ну и яркий пример фразеологизма «не баг, а фича» (странно, что на hackerone тикет вообще не удалили сразу, как несущественный).

Имхо, глупо ожидать какой-либо анонимности от веб-ресурса, позиционирующего себя как «соцсеть». Скрытые фото, скрытые друзья, настройки приватности и прочее прочее… Используя одни лишь фичи, можно тех же «скрытых друзей» открыть при минимальном времени, затраченном на аналитику.

Что же касается администраторов и модераторов сообществ, так руководство большинства более-менее «прошаренных» групп уже давно эту тему знают и, в случае критичности факта персонализированния, используют отдельные страницы для соответствующей работы.

Здесь речь не об анонимности, а о том, что во ВКонтакте есть настройки приватности от обычных юзеров (не МВД/ФСБ и не администратор ВКонтакте). А по сути эта фича не работает, ТК можно посмотреть ИД и найти пользователя.

Там много чего есть… например «возможность» скрывать свою д.р. на странице…

Вот только эта информацияо д.р. до сих пор вычисляется через поиск людей…

1. Контакты многих сообществ — это и есть модераторы и редакторы
2. Писать им в личку про рекламу? Будет бан

Ага. И вот получает новый сотрудник вопрос:

«Привет, я по поводу твоего коммита в foobar-esoteric, 184c9400855. Ты там явно мог бы использовать матричную параметризацию теста (тесты выше и ниже её используют), но в этом случае ты зачем-то используешь полиморфную фикстуру, которая вместо того, чтобы манкипатчить сокет через httpretty, зачем-то поднимает реальный веб-сервер. Зачем это?».

И вот «новый сотрудник» отвечает «а я новый сотрудник и я в душе не люблю что тут написано».

А если бы был персональный емейл, ответ был бы: «потому что когда я попробовал использовать обычный подход с кассетами оно выдавало false positive из-за того, что в сертификате фигурирует сегодняшняя дата, а в кассете записано то, что было в момент написания, но в какой-то момент протухает, и всё ломается. Так что вместо того, чтобы писать простыню патчинга сертификатов, я просто поднимаю на lo сервер, который внутри использует ту же кассету, но записанную по http, а все ssl-детальки берутся в райнтайме и всегда валидны».

И этот вопрос может возникнуть не только у посторонних людей, но и у (бывших) коллег сотрудника.

Да, корпоративные фрики скажут, что это нельзя и всё плохо, но технарям так удобнее и эффективнее.