15-12-2020 / Podcast

OSINT

Uwaga: wszystkie linki podane w tym artykule możesz ściągnąć w formie wygodnego pliku PDF tutaj.

Cel materiału

Chce usunąć swoje dane
https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679

Zastanawiałeś się jak wiele informacji o sobie można znaleźć w Internecie? Jeżeli nie wiesz gdzie ich szukać - to też nie wiesz, że czasami można je usunąć.

Musisz wiedzieć gdzie są Twoje dane

Materiał jest podzielony na kilka części:

Części

Wyszukiwarki to oczywiste miejsca gdzie mogą być Twoje dane. Ale warto wiedzieć, co wie o Tobie Google.

Co wie o Tobie Google
https://adssettings.google.com/authenticated?hl=pl

Zobaczysz tam zebrane informacje, które mogą być wykorzystane przez reklamodawców podczas wyświetlania reklam. Podobne informacje znajdziesz na Facebooku.

Co wie o Tobie Facebook
https://www.facebook.com/off_facebook_activity/

No dobrze - ale gdzie jeszcze możemy szukać?

Biały wywiad to działalność, która polega na zdobywaniu informacji ze źródeł jawnych oraz takich, które są ogólnie dostępne. 

https://dkdetektyw.pl/osint-bialy-wywiad/

Informacje publiczne definiuje również ustawa o dostępie do informacji publicznej.

Ustawa o dostępie do informacji publicznej
http://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20011121198/T/D20011198L.pdf

Co więcej, istnieje portal dane.gov.pl, stworzony z myślą o:

⚬ obywatelach zainteresowanych działaniami państwa

⚬ firmach, które budują innowacyjne produkty i usługi oparte na danych

⚬ organizacjach pozarządowych, wykorzystujących dane w codziennej pracy

⚬ naukowcach prowadzących badania

⚬ urzędnikach przygotowujących raporty i analizy.

https://dane.gov.pl/about
Dane.gov.pl
https://dane.gov.pl/dataset

Adres zamieszkania i PESEL

Jeżeli masz działalność gospodarczą - imię, nazwisko, PESEL, czy adres - znajdują się w CEIDG. To, jakie dane się tam znajdują, definiuje odpowiednia ustawa.

Podobnie, jeżeli jesteś powiązany ze spółką. Wtedy te dane można znaleźć w EKRS.

Powiązania
https://rejestr.io/osoby/1358377/jerzy-owsiak

Powiązania osób z różnymi firmami można łatwo znaleźć korzystając z zewnętrznych witryn. Prezes UODO uznała, że:

Wolno gromadzić dane osobowe dostępne w publicznych rejestrach i następnie udostępniać je odpłatnie przez Internet. Właściciele witryn powielających dane, np. z KRS nie muszą ani informować o tym osób, których te dane dotyczą, ani respektować ich prawa do sprzeciwu.

https://www.prawo.pl/biznes/rodo-nie-utrudnia-przetwarzania-danych-z-jawnych-rejestrow,373892.html

Jeżeli masz uzasadniony interes prawny (np. ktoś jest Twoim dłużnikiem) - możesz wypełnić wniosek o udostępnienie danych z rejestru PESEL.

Wniosek z rejestru PESEL
http://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20190001212/O/D20191212.pdf

Warto również pamiętać, że nasze dane adresowe są przetwarzane przez sklepy internetowe (oraz platformy sprzedażowe w stylu Allegro). Teoretycznie możemy poprosić o ich usunięcie. Informacje o tym jak to zrobić zazwyczaj znajdują się w polityce danych osobowych.

Prośba o usunięcie danych
https://pomoc.home.pl/baza-wiedzy/rodo-usuwanie-danych-klienta

Jeżeli korzystasz z kwalifikowanego podpisu elektronicznego, to każdy dokument przez Ciebie podpisany zawiera nie tylko Twoje imię i nazwisko, ale także numer PESEL. Pole, które zawiera PESEL nazwano PNOPL.

Numer PESEL w kwalifikowanym podpisie elektronicznym

Korzystając z serwisu Geoportal można sprawdzić wielkość działki. Jeszcze do niedawna można tam było również znaleźć numer Księgi Wieczystej - ale UODO zabroniło udostępniania numerów. Nadal można je znaleźć korzystając z komercyjnych serwisów, ale ich sytuacja prawna jest nie do końca jasna.

Jeżeli posiadasz numer księgi wieczystej - możesz sprawdzić jej treść korzystając z Elektronicznej Księgi Wieczystej. Każda księga zawiera cztery działy:

  • pierwszy obejmuje oznaczenie nieruchomości oraz wpisy praw związanych z jej własnością,
  • drugi obejmuje wpisy dotyczące własności i użytkowania wieczystego,
  • trzeci przeznaczony jest na wpisy dotyczące ograniczonych praw rzeczowych, z wyjątkiem hipotek, na wpisy ograniczeń w rozporządzaniu nieruchomością lub użytkowaniem wieczystym oraz na wpisy innych praw i roszczeń, z wyjątkiem roszczeń dotyczących hipotek,
  • czwarty przeznaczony jest na wpisy dotyczące hipotek.
Księga wieczysta
https://przegladarka-ekw.ms.gov.pl/

Dane finansowe

Jeżeli jesteś osobą publiczną - można sprawdzić Twoje zarobki.

Zarobki
https://www.bip.krakow.pl/?mmi=278

Tak samo można sprawdzić sprawozdania finansowe spółek. Mają one obowiązek publikowania takich danych raz do roku w systemie Ministerstwa Sprawiedliwości.

Jeżeli masz długi - możesz zostać wpisany na listę dłużników. Jeżeli dłużnikiem jest osoba fizyczna, można publikować jej dane (z pominięciem numeru posesji).

https://jakodzyskacpieniadze.pl/2018/06/15/rodo-a-upublicznianie-danych-dluznika/

Jeżeli posiadasz kredyty (lub korzystasz z kart kredytowych) Twoje informacje są zbierane w systemie BIK. Firma ta pozwala na wykupienie płatnych raportów, w których znajduje się nasza historia kredytowa.

Raporty BIK
https://www.bik.pl/_fileserver/time20190423113811/item/1500546

Mało osób wie jednak, że raz na pół roku możemy poprosić o udostępnienie bezpłatnej kopii danych BIK. Informacja o tym znajduje się na podstronie RODO.

Dane BIK
https://www.bik.pl/rodo

Istnieje jeszcze kilka innych firm tego rodzaju. Więcej o nich opowiadam w materiale o kradzieży tożsamości.

Jeżeli firma jest płatnikiem VAT - jej numer konta znajduje się w specjalnym rejestrze.

Rachunek bankowy
https://www.podatki.gov.pl/wykaz-podatnikow-vat-wyszukiwarka

Starosta (lub prezydent miasta) prowadzi Rejestr Cen i Wartości Nieruchomości. W zależności od miasta - odnośniki do specjalnych serwisów można znaleźć bezpośrednio w Geportalu. Czasami trzeba jednak napisać email na specjalny adres.

Rejestr cen
https://mapy.geoportal.gov.pl/

Jeżeli bierzesz udział w przetargach - to są tam podane kwoty. Niektóre elementy mogą nie być jawne (na podstawie przepisów o ochronie informacji niejawnej).

Również kwoty z projektów unijnychjawne. Mapa Dotacji UE pozwala na szybkie zweryfikowanie jakie środki otrzymał dany projekt.

Mapa dotacji
https://mapadotacji.gov.pl/

Wyniki konkursów PARP również można sprawdzić w Internecie.

Jeśli kupujesz reklamy na Facebooku - można sprawdzić listę bieżących reklam wykupionych przez konkretną firmę.

Reklamy Facebook
https://www.facebook.com/ads/library/

Informacje o firmie

Większość elektroniki sprzedawanej w USA musi posiadać identyfikator FCC. Wpisy w tej bazie zdradzają wiele informacji. Można tam znaleźć między innymi instrukcję obsługi czy też zdjęcia przedmiotu z wewnątrz i zewnątrz.

FCC
https://fccid.io/BCG-E3237A

Informacje o patentach i znakach towarowych mogą zdradzić czym obecnie zajmuje się Twoja firma (i jakie produkty i usługi chce wypuścić w niedalekiej przyszłości).

Patenty
https://patentscope.wipo.int/

Jeżeli korzystasz z AWS S3 - uważaj na publiczne kubełki. Istnieją firmy, które agregują dane zawarte w takich zasobach. A zazwyczaj (pośród informacji publicznych) można tam znaleźć dane potencjalnie wrażliwe.

Kubełki S3
https://buckets.grayhatwarfare.com/

Jeżeli posiadasz kilka stron Internetowych i korzystasz z Google Analytics, to wiesz, że aby śledzić ruch - strona musi zawierać specjalny tag. Ten tag składa się z trzech elementów:

  • ciągu UA
  • identyfikatora konta
  • identyfikatora strony

Jeżeli korzystasz z tego samego konta na kilku różnych witrynach - można je z Tobą połączyć - ponieważ identyfikator zaczyna się od tego samego ciągu. Istnieją specjalne wyszukiwarki, które odnajdują powiązane ze sobą witryny właśnie na podstawie tej wartości.

Google Analytics

Jeżeli starałeś się o pozwolenie na budowę - można je znaleźć w publicznej wyszukiwarce RWDZ. Widać tam co (i gdzie) jest budowane (lub będzie).

RWDZ
http://wyszukiwarka.gunb.gov.pl/

Otrzymałeś podejrzanego maila? Nie wiesz czy to złośliwe oprogramowanie? Jeżeli wyślesz plik do serwisu VirusTotal, to będzie on dostępny dla kilkunastu firm antywirusowych (oraz innych niezależnych badaczy). Nie powinno się więc wysyłać tajnych danych do tego serwisu - bo ich usunięcie jest niemożliwe.

Virustotal
https://www.virustotal.com/

Tworzysz nowy produkt? Pamiętaj, że nowe domeny (i subdomeny), do których wygenerowany jest certyfikat SSL - są publiczne. Można je sprawdzić w Certificate Transparency Log.

crt.sh
https://crt.sh/

Według ustawy:

Faktura powinna zawierać kolejny numer nadany w ramach jednej lub więcej serii

https://www.infor.pl/akt-prawny/230593,ustawa-o-podatku-od-towarow-i-uslug.html
Faktura

Może to wykorzystać Twoja konkurencja. Wystarczy, że kupi elektroniczny produkt za 1 PLN i sprawdzi jaki numer faktury otrzymała. Na tej podstawie można obliczyć hipotetyczne zyski firmy.

Słowa kluczowe
https://app.neilpatel.com/en/traffic_analyzer/

Często nowi użytkownicy trafiają na nasze strony z wyszukiwarek. Można sprawdzić słowa kluczowe, które są powiązane z naszą firmą. Inni mogą to wykorzystać do pozycjonowania (i przejęcia części naszych klientów).

Pamiętaj też, że Linkedin pokazuje naszych pracowników.

Twarz

Twarz

Teoretycznie przetwarzanie danych wrażliwych (czyli między innymi danych biometrycznych) wymaga zgody.

Standardowe zapytanie w Google nie wyszukuje twarzy.

Google grafika

Ale... jeżeli przejdziemy do wyszukiwania zaawansowanego w opcji typ obrazu możemy już wybrać twarz.

Wyszukiwanie po twarzy
https://www.google.com/advanced_image_search

Działa to zaskakująco dobrze (i zwraca inne wyniki niż standardowe wyszukiwanie obrazem).

Przykład wyszukiwania twarzą
https://www.google.com/search?as_st=y&tbm=isch&as_q=kacper+szurek&as_epq=&as_oq=&as_eq=&cr=&as_sitesearch=&safe=images&tbs=itp:face

Jeśli nie chcemy aby nasza twarz była widoczna w wynikach wyszukiwania najprościej usunąć oryginalne zdjęcie. Jeżeli nie możesz tego zrobić (i nie masz kontaktu z właścicielem strony) możesz wypełnić specjalny formularz.

Po usunięciu obrazu - możemy zgłosić go w narzędziu usuwania nieaktualnej treści.

Procedura usuwania nieaktualnej treści
https://www.google.com/webmasters/tools/removals

Tylko, że Google to nie wszystko. Istnieje wiele innych wyszukiwarek obrazów.

Inne wyszukiwarki obrazów
https://github.com/dessant/search-by-image/blob/master/README.md

Yandex dla przykładu posiada wbudowany OCR. Oznacza to, że jest w stanie rozpoznać tekst znajdujący się na obrazku.

OCR
https://osintcurio.us/2020/04/12/tips-and-tricks-on-reverse-image-searches/

Niektóre wyszukiwarki specjalizują się wyłącznie w wyszukiwaniu twarzy. Według regulaminu możemy tam przesłać tylko swoje zdjęcie. Legalność takich działań bada UODO.

Wyszukiwarka twarzy
https://pimeyes.com/

Również Facebook i TinEye pozwala na znajdowanie twarzy.

Czasami próbujemy anonimizować treść na zdjęciu korzystając z algorytmu blur (czyli rozmycia).

Smart deblur
http://smartdeblur.net/

Istnieje wiele narzędzi, które mogą odwrócić ten proces:

Znany jest przypadek poszukiwanej osoby, która wrzuciła rozmazane zdjęcie do Internetu. Odpowiedni algorytm przywrócił zdjęcie do czytelnej postaci, dzięki czemu udało się odnaleźć przestępcę.

Zamazana twarz
https://www.bbc.com/news/world-us-canada-39411025

Numer telefonu

Numer telefonu

Nasz numer telefonu można znaleźć na różnych stronach internetowych. PhoneInfoga wyszukuje numery (podane w różnych postaciach).

Ale nasz numer może wejść w posiadanie serwisów poprzez naszych znajomych. Istnieją aplikacje, które zbierają numery kontaktów z naszego telefonu i na ich podstawie tworzą bazę danych. Te najpopularniejsze to:

Usuwanie numeru telefonu
https://pipl.com/personal-information-removal-request

Każdy z tych serwisów pozwala na usunięcie własnego numeru. Musimy jedynie wypełnić specjalny formularz.

Znając nasz numer telefonu można próbować zamienić go na email. Jak? Niektóre serwisy pozwalają na resetowanie hasła (lub przypominanie nazwy użytkownika) na podstawie numeru telefonu. Wyświetlają wtedy część (lub całość) adresu email. Facebook dla przykładu pokazuje pierwszą literę adresu powiązanego z danym numerem.

Jak poznać adres email na podstawie telefonu
https://www.facebook.com/login/identify/?ctx=recover&ars=facebook_login

W podobny sposób można poszukiwać naszych znajomych w innych serwisach społecznościowych.

Odnajdywanie znajomych
https://help.twitter.com/en/using-twitter/upload-your-contacts-to-search-for-friends

Email

Email

Google pozwala na wykorzystanie operatorów. Wykorzystując intext orz podając poszukiwanie słowo między cudzysłowami zawężamy nasze wyniki wyszukiwania.

Poszukiwanie adresu email

Nasz adres email (podobnie jak telefon) można wykorzystać do znajdowania kont na Flickr, Facebooku i innych mediach społecznościowych.

Nazwa konta na podstawie adresu email
https://www.intelligencewithsteve.com/post/a-guide-to-searching-linkedin-by-email-address

Czasami te funkcje są schowane (jak w przypadku Linkedina). Oczywiście wszystko to możemy wyłączyć (o ile oczywiście znajdziemy odpowiednie opcje).

Istnieją również firmy wyspecjalizowane w zbieraniu tylko i wyłącznie adresów e-mail, znajdujących się w publicznym Internecie.

Poszukiwanie adresów email
https://hunter.io/

Możemy usunąć nasz adres (wcześniej potwierdzając, że jesteśmy jego właścicielem).

Have I Been Pwned
https://haveibeenpwned.com/

Adres email wraz z hasłem często widnieje w różnych wyciekach baz danych. Możemy sprawdzić z jakich stron wykradziono nasze dane korzystając z serwisu Have I Been Pwned. Jeśli nie chcesz, aby inni (poza Tobą) mogli to zrobić - zweryfikuj swój adres na odpowiedniej podstronie.

Gravatar
https://en.gravatar.com/site/implement/images/

Jakiś czas temu popularność zdobyła usługa Gravatar. Jeżeli tworzyłeś konta na kilkunastu stronach i byłeś znudzony wysyłaniem tego samego avatara cały czas - ten serwis rozwiązywał ten problem. Jeżeli w przeszłości powiązałeś swój email ze zdjęciem - te dane dalej są dostępne. Podobnie w przypadku Gmaila - tam również można ustawić zdjęcie profilowe.

Zdjęcie profilowe
https://myaccount.google.com/profile

Jeżeli nie korzystasz z menadżera haseł i nie zapisujesz stron, na których tworzysz nowe konta - mogłeś zapomnieć, że gdzieś kiedy założyłeś swój profil. Na pomoc przychodzi WhatsMyName. Wystarczy podać login, którym zazwyczaj posługujemy się w Internecie a witryna sprawdzi, gdzie istnieją konta o podanej nazwie.

Konta w innych serwisach
https://whatsmyname.app/

Po co nam ta wiedza? Serwisy społecznościowe zbierają wiele informacji na nasz temat. Poniżej grafika pokazująca ile informacji można pozyskać z Twittera.

Twitter
https://twitter.com/sinwindie/status/1297570256546746368/photo/1

Gdy umieszczasz zdjęcia zrobione aparatem (bądź telefonem) na własnej stronie - sprawdź, czy Twój system zarządzania treścią usuwa z obrazów dane EXIF. Mogą się tam znajdować dodatkowe informacje na temat zdjęcia (przesłona, czas, numer seryjny aparatu) ale również koordynaty GPS. Jeżeli zdjęcie zrobiłeś w swoim domu a aparat dodał do niego Twoją lokalizację - na tej podstawie będzie można stwierdzić gdzie mieszkasz.

EXIF
https://www.pic2map.com/dhiwop.html

Wiele innych formatów pozostawia w plikach dodatkowe metadane. Pakiet Office dla przykładu pozostawia tam imię i nazwisko autora dokumentu. Dane te można usunąć - należy jednak skorzystać z inspektora dokumentów.

Metadane w pakiecie Office

Jeżeli często biegasz/jeździsz na rowerze, to pewno korzystasz z serwisów typu Strava, które pozwalają na zapis treningów. Sprawdź dokładnie jakie dane tam udostępniasz. Mogą to być nie tylko wzrost lub waga, ale także popularne trasy, którymi się poruszasz. Takie informacje to kopalnia wiedzy dla potencjalnych złodziei. Może warto udostępniać takie szczegóły tylko znajomym?

Strava
https://www.strava.com/settings/privacy

Tak samo można sprawdzić w jakie gry grasz na platformie Steam, bądź jakiej muzyki słuchasz na Spotify.

Steam
https://steamcommunity.com/my/edit/settings

Ilość danych, które posiadają o nas firmy może zaskoczyć. Poniżej przykład serwisu muzycznego Spotify oraz opis danych zebranych na nasz temat.

Dane spotify
https://observablehq.com/@a-lexwein/what-i-got-when-i-requested-data-from-spotify

Możesz samemu o nie poprosić korzystając z odpowiedniej opcji w menu użytkownika.

Pobierz dane ze Spotify
https://www.spotify.com/us/account/privacy/

Duże serwisy mają tą funkcję zautomatyzowaną:

Nasze dane (i dane przodków) można znaleźć w serwisach o drzewach genealogicznych. Ale informacje o nazwiskach można także pozyskać z wyszukiwarek osób pochowanych. Często można tam również zdjęcia nagrobków oraz dokładną ich lokalizację na cmentarzu.

Grobonet
https://grobonet.com/index.php

Warto pamiętać, że w Internecie nie jesteśmy niewidzialni. Wiele serwisów zapisuje nasz adres IP.

Adres IP
https://slack.com/intl/en-pl/help/articles/360002084807-View-Access-Logs-for-your-workspace

Pewnym zabezpieczeniem przed tą praktyką może być wyłączenie wyświetlania zewnętrznych grafik w wiadomościach email.

Samochód

Masz samochód? W Internecie można sprawdzić:

Usuwanie danych

Usuwanie danych

Wiemy już jak wiele informacji o nas można znaleźć. Niestety, nie zawsze możemy je usunąć. Warto tutaj pamiętać o Efekcie Streisand:

Rodzaj internetowego zjawiska, w którym na skutek prób cenzurowania lub usuwania pewnych informacji (plików, zdjęć czy nawet całych stron internetowych) dochodzi w krótkim czasie do rozpowszechnienia ich wśród jak najszerszej grupy odbiorców, na przykład poprzez stosowanie tak zwanych mirrorów bądź poprzez sieci peer-to-peer.

https://pl.wikipedia.org/wiki/Efekt_Streisand

Jednak niektóre dane możemy próbować usunąć. Jeżeli Twój dom/mieszkanie widnieje w Google Street View - możesz poprosić o jego zamazanie.

Google Street View
https://www.google.pl/maps/

Chociaż takie działanie może przynieść odwrotny efekt od zamierzonego (ponieważ zamazane miejsca bardziej zwracają na siebie uwagę niż normalne budynki).

Web Archive to witryna, która przechowuje stare wersje stron Internetowych. Dzięki temu możemy zobaczyć jak wyglądały popularne portale kilkanaście lat temu.

Web archive
http://web.archive.org/

Jeżeli chcemy usunąć takie dane - musimy wysłać wiadomość email na odpowiedni adres.

Instagramowe Stories zazwyczaj są widoczne jedynie przez 24 godziny - po tym czasie znikają. Warto jednak pamiętać, że każdy może je pobrać przy pomocy specjalnych narzędzi.

Instagram
https://www.instadp.com/stories/fcbayern

Z usuwaniem danych wiąże się też usuwanie kont z serwisów, z których już nie chcemy korzystać. Procedura ta nie zawsze jest prostą czynnością. Istnieje portal JustDelete.me, który zawiera katalog pomocnych w tym linków i poradników.

Jak usunąć konta z różnych portali
https://backgroundchecks.org/justdeleteme/

Wszystkie linki wspomniane w tym artykule możesz ściągnąć w formie wygodnego pliku PDF tutaj.

Tematyka OSINT Cię zainteresowała? Chciałbyś poznać więcej narzędzi? Zobacz OSINT Framework - specjalną mapę myśli podzieloną na różne kategorię.

OSINT Framework
https://osintframework.com/

Newsletter

Wyrażam zgodę na przetwarzanie moich danych osobowych przez Kacpra Szurka w celu otrzymywania newslettera za pomocą e-maila, informacji o promocjach, nowościach, produktach blogowych i usługach własnych oraz innych, polecanych osób, zgodnie z polityką prywatności.