Размышлял, писать об этом статью или нет. Ведь если известен способ проверить данные о себе, то ничего не мешает проверить данные и о других. Но решил, что люди, ищущие информацию о других, куда опытнее меня и потенциальных читателей этом деле. Им мои подсказки не нужны. А вот простой пользователь может не знать как провести аудит. И именно он может быть под угрозой.
Статья написана в образовательных целях, прежде всего, чтобы пользователи почтового сервиса gmail.com могли проверить, не выставили ли они лишней информации в сеть.
Началось всё со статьи "Что можно узнать о человеке по адресу его почты на Gmail? Проверяем с помощью GHunt". Если у вас есть вопрос, а зачем вам нужна такая проверка, то прочтите статью и решите, может, и в самом деле, вас это не волнует. Ниже описание практической части, как поставить и запустить.
Проект GHunt гнездится на github.com - https://github.com/mxrch/GHunt. Адрес нам пригодиться для скачивания проекта.
Я использую Mac OS. На Linux будет всё примерно так же. Про Windows советов у меня нет. Не пробовал запускать на нем Docker. Да и с Python под Виндой не работал.
Еще одно уточнение. Автор скриптов предполагает, что у вас установлен Google Chrome. Я этому браузеру не доверяю (хотя бы история с включенным микрофоном), поэтому в моем описании используется Firefox (или Tor).
Проверка состоит из двух частей.
1. Создание новой учетной записи gmail.com. Это следует из рекомендации автора скриптов:
I suggest you make an empty account just for this or use an account where you never login because depending on your browser/location, re-logging in into the Google Account used for the cookies can deauthorize them.
2. Собственно подготовка и запуск самих скриптов.
По первой части есть два пути - простой и сложный. Простой:
Выходите из своей учетной записи Gmail, переходите по адресу https://www.google.com/gmail/about/, нажимаете "Create Account", заполняете поля (ФИ, желаемый адрес электройнной почты), на следующем экране вводите номер своего телефона и завершаете регистрацию.
Теперь сложный путь. Как обойтись без номера телефона. Мне помогла статья "How To Create Gmail Account Without Phone Number 2021". В ней дается 2 варианта - через браузер Chrome (мне не подходит) и через эмулятор Andoroid "Bluestacks". Я воспользовался им.
Алгоритм простой:
- Переходите на сайт Bluestacks и скачиваете эмулятор под свою ОС. Не удивляйтесь дизайну сайта (картинки из компьютерных игр). Эмулятор сделан для того, чтобы играть на компьютере в игры для смартфонов.
- Устанавливаете и запускаете эмулятор
- Во вкладке My Apps запускаете Play Store и создаете нового пользователя Google. На просьбу ввести номер телефона нажимаете "Next". При таком способе регистрации номер телефона не является обязательным полем. Не знаю, почему Google так сделал.
После окончания регистрации сам эмулятор больше не нужен. Теперь в обычном браузере (Firefox, Tor, другое) заходите в новую учетную запись.
Я не понял предупреждения автора скриптов, почему надо заходить под учетной записью, под которой вы ни разу до этого не авторизовывались. И вообще, как это возможно?
Зайдя в почту вызываем консоль разработчика. В Firefox - клавиши Shift + F9.
Переходим на вкладку Storage и копируем 5 значений:
- SID
- SSID
- APISID
- SAPISID
- HSID
Они потребуются для создания токенов. Не выходите из учетной записи, чтобы куки не протухли.
Всё, с первой частью разобрались. Теперь сами скрипты.
На этом этапе опять развилка. Можно скачать себе скрипты (если установлен Chrome), а можно использовать готовый контейнер Docker. Рассмотрю оба.
Путь 1. Docker.
1. С сайте https://www.docker.com/products/docker-desktop скачиваете и ставите Docker (если еще не стоит). Далее работаете в терминале ОС (Mac OS, Linux).
2. Скачиваете образ контейнера:
docker pull mxrch/ghunt
Запускаете первую команду:
docker run -v ghunt-resources:/usr/src/app/resources -ti mxrch/ghunt check_and_gen.py
docker run -v
Будет запрос на куки. копируете сохраненные значения, скопированные из консоли разработчика. система сгенерирует токены.
После это выполняете команду, подставив вместо <email_address> адрес своей настоящей электронной почты для ее аудита:
docker run -v ghunt-resources:/usr/src/app/resources -ti mxrch/ghunt hunt.py <email_address>
Путь 2. Без Docker'a.
Подготовка:
1. Скачиваем и устанавливаем последнюю версию Python (https://www.python.org/). Автор пишет, что нужно не ниже Python 3.7. Сам он пишет на Python 3.8.1. Все версии верны на момент написания статьи. Если у вас установлено несколько версий Python, убедитесь, что по умолчанию используется правильная версия. Как это сделать для Mac OS написано в этой статье.
2. Открываем терминал, Создаем папку, куда будем качать проект. Например,
MacBook$ mkdir ~/Downloads/ghunt/
MacBook$ cd ~/Downloads/ghunt/
3. Качаем проект:
MacBook$ git clone https://github.com/mxrch/GHunt
4. Ставим необходимые библиотеки для Python:
MacBook$ python -m pip install -r requirements.txt
5. Запустить скрипт "check_and_gen.py"
MacBook$ python check_and_gen.py
Будет запрос на куки. Копируете сохраненные значения, скопированные из консоли разработчика. система сгенерирует токены.
6. Наконец, запускаем команду сбора
MacBook$ python hunt.py <email_address>
Подставляем вместо <email_address> адрес своей настоящей электронной почты для ее аудита.
Будет примерно такой вывод:
MacBook$ docker run -v ghunt-resources:/usr/src/app/resources -ti mxrch/ghunt hunt.py username@gmail.com
.d8888b. 888 888 888
d88P Y88b 888 888 888
888 888 888 888 888
888 8888888888 888 888 88888b. 888888
888 88888 888 888 888 888 888 "88b 888
888 888 888 888 888 888 888 888 888
Y88b d88P 888 888 Y88b 888 888 888 Y88b.
"Y8888P88 888 888 "Y88888 888 888 "Y888
[+] Docker detected, profile pictures will not be saved.
[+] 1 account found !
------------------------------
[-] Couldn't find name
[-] Default profile picture
Last profile edit : 2020/10/20 10:10:10 (UTC)
Email : username@gmail.com
Google ID : 111111111111111111111
Hangouts Bot : No
[-] Unable to fetch connected Google services.
Google Maps : https://www.google.com/maps/contrib/111111111111111111111/reviews
[-] No reviews
Google Calendar : https://calendar.google.com/calendar/u/0/embed?src=username@gmail.com
[-] No public Google Calendar.
На этом всё. Будьте аккуратны, следите за своими персональными данными.
Комментариев нет:
Отправить комментарий