Наша первая статья на Medium!
Гугловские сервисы собирают о пользователях много данных, не всегда явно предупреждая об этом. Это может стать проблемой с точки зрения конфиденциальности. Например, разработчик скрипта GHunt показал, как найти информацию о человеке, используя только адрес электронной почты на Gmail.
Что можно узнать с помощью GHunt:
- Имя владельца учётной записи
- Время последнего изменения профиля
- Google ID
- Используемые сервисы (Google Photos, YouTube, Google Maps и т.д.)
- Возможный канал на YouTube
- Оставленные отзывы и фото на Google Maps
- Возможное местонахождение
- Встречи в Google Календарь
Ранее с помощью GHunt можно было также получить доступ к публичным фотографиям, модели смартфона, установленным прошивкам и приложениям. Сейчас эти возможности закрыты.
Отзывы и фото на Google Maps, а также возможное физическое местонахождение можно отследить, если пользователь не закрыл эти сведения специально. По умолчанию в настройках установлен публичный доступ. С Google Календарь обратная ситуация. Можно посмотреть чужие встречи, только если человек открыл к ним публичный доступ.
Для использования GHunt автор рекомендует создать пустой гугловский аккаунт или взять учётную запись, которой вы редко пользуетесь. Для работы скрипта нужны cookies, которые можно найти на странице Google Аккаунт. Чтобы получить их, откройте DevTools и на вкладке Application выберите раздел Storage — Cookies. Какие именно значения нужно скопировать, вы увидите после запуска в терминале файла check_and_gen.py. Подробная инструкция со скриншотами есть в репозитории проекта.
Личный опыт: какую информацию удалось найти?
Было проверено несколько почтовых аккаунтов разных людей. Конечный результат зависел от того, как глубоко человек погружён в экосистему сервисов Google. Но из всего этого, можно сделать несколько наблюдений:
- Каналы на YouTube скрипт находит по соответствию имени. Из-за этого точность поиска низкая. Например, для одного почтового аккаунта GHunt нашёл два канала, которые точно не имеют к пользователю никакого отношения.
- Физическое местоположение удалось узнать у 2 пользователей из 5.
- Интересно выглядит выдача по Google Maps. Можно посмотреть все отзывы человека и добавленные им фотографии.
Самой большой проблемой был свободный доступ к альбомам и фотографиям пользователей. Сейчас попытка перейти в чужой архив заканчивается ошибкой 404. Однако неясно, навсегда ли закрыта лазейка. Поэтому разработчик GHunt советует перейти в «Архив Альбомов» и в настройках запретить другим пользователям скачивать фото и видео.
Также в обсуждениях проекта сообщили об уязвимости аккаунтов, которые использовали сервис Picasa. На данный момент единственным вариантом решения проблемы называют удаление альбомов Picasa из архивов Google Photos.
