Обложка: Что можно узнать о человеке по адресу его почты на Gmail? Проверяем с помощью GHunt

Что можно узнать о человеке по адресу его почты на Gmail? Проверяем с помощью GHunt

2
12

Гугловские сервисы собирают о пользователях много данных, не всегда явно предупреждая об этом. Это может стать проблемой с точки зрения конфиденциальности. Например, разработчик скрипта GHunt показал, как найти информацию о человеке, используя только адрес электронной почты на Gmail.

Репозиторий проекта на GitHub

Что можно узнать с помощью GHunt:

  • Имя владельца учётной записи
  • Время последнего изменения профиля
  • Google ID
  • Используемые сервисы (Google Photos, YouTube, Google Maps и т.д.)
  • Возможный канал на YouTube
  • Оставленные отзывы и фото на Google Maps
  • Возможное местонахождение
  • Встречи в Google Календарь

Ранее с помощью GHunt можно было также получить доступ к публичным фотографиям, модели смартфона, установленным прошивкам и приложениям. Сейчас эти возможности закрыты.

Как найти информацию о человеке через GHunt

Так выглядят результаты поиска

Отзывы и фото на Google Maps, а также возможное физическое местонахождение можно отследить, если пользователь не закрыл эти сведения специально. По умолчанию в настройках установлен публичный доступ. С Google Календарь обратная ситуация. Можно посмотреть чужие встречи, только если человек открыл к ним публичный доступ.

Для использования GHunt автор рекомендует создать пустой гугловский аккаунт или взять учётную запись, которой вы редко пользуетесь. Для работы скрипта нужны cookies, которые можно найти на странице Google Аккаунт. Чтобы получить их, откройте DevTools и на вкладке Application выберите раздел Storage — Cookies. Какие именно значения нужно скопировать, вы увидите после запуска в терминале файла check_and_gen.py. Подробная инструкция со скриншотами есть в репозитории проекта.

Личный опыт: какую информацию удалось найти?

Я проверил несколько почтовых аккаунтов разных людей. Результат зависит от того, как глубоко человек погружён в экосистему сервисов Google. Несколько наблюдений:

  1. Каналы на YouTube скрипт находит по соответствию имени. Из-за этого точность поиска низкая. Например, для одного почтового аккаунта GHunt нашёл два канала, которые точно не имеют к пользователю никакого отношения.
  2. Физическое местоположение удалось узнать у 2 пользователей из 5.
  3. Интересно выглядит выдача по Google Maps. Можно посмотреть все отзывы человека и добавленные им фотографии.

Самой большой проблемой был свободный доступ к альбомам и фотографиям пользователей. Сейчас попытка перейти в чужой архив заканчивается ошибкой 404. Однако неясно, навсегда ли закрыта лазейка. Поэтому разработчик GHunt советует перейти в «Архив Альбомов» и в настройках запретить другим пользователям скачивать фото и видео.

Настройки конфиденциальности фото и видео

Нужно убрать разрешение

Также в обсуждениях проекта сообщили об уязвимости аккаунтов, которые использовали сервис Picasa. На данный момент единственным вариантом решения проблемы называют удаление альбомов Picasa из архивов Google Photos.

Хинт для программистов: если зарегистрируетесь на соревнования Huawei Cup, то бесплатно получите доступ к онлайн-школе для участников. Можно прокачаться по разным навыкам и выиграть призы в самом соревновании.

Перейти к регистрации

Что думаете?