21.10.2013 |
Bezpečnostní konzultanti Keith Lee a [Jonathan Werrett] z Trustwave představili na konferenci Hack In The Box v Kuala Lumpur aplikaci [FBStalker]. Jedná se o Python skript, který momentálně běží v Chrome na OS X, zadává dotazy prostřednictvím Facebook Graph Search a shromažďuje získaná data.
Jak se dají taková data využit/zneužít, ukázala hongkongská hackovací zkouška firmy Trustwave. Při ní si člen hongkongské elity objednal u Trustwave zcizení svého hesla. Postup infiltrace popisuje Werrett:
Pomocí Facebooku jsme zjistili, kdo je jeho žena.
Její veřejné lajky nás dovedly k tomu, že provozuje pilates studio a že právě najímá nového trenéra.
Poslali jsme jí phishingový email s video ukázkou kurzu falešného kandidáta na pozici. Prostřednictvím videa infikovali počítač malwarem, který nám poskytl přístup k spear-phishing útoku.
A v počítači, který měla po manželovi, bylo cílové heslo uložené v manažerovi hesel Apple Keychain.
Jak Werrett dodává: toto hacking cvičení se ukázalo být o hodně snazší než jsme čekali.
I při velmi pro-soukromě orientovaném nastavení vlastních aktivit na FB bude moci FBStalker extrapolovat vaši sociální síť (v sociologickém slova smyslu), vzorce online aktivity (a díky nim vzorec aktivity práce-volný čas-spánek), nejčastější místa výskytu. A to sice vinou neuzavřených označení na fotkách, olajkovaných příspěvků aj.
Využití lokalizačních koordinátů zdokonaluje další Python skript Leeho a Werreta [GeoStalker], který dané koordináty spojuje napříč sítěmi Instagramu, Flickru, Twitteru, Foursquare s uživatelskými jmény a dokonce i WiFi sítěmi indexovanými v databázi [Wigle].
FBStalker neporušuje podmínky používání Facebooku, pouze automatizuje a multiplikuje operace jedince s prohlížečem a získaná data následně analyzuje.
Zdroje: [Help Net Security], [PCWorld], [InfoWorld]