开源工具搜索有效的Google ID,YouTube频道和其他Google拥有的服务
一个新的开源工具允许安全团队探索由Google帐户创建的数据。
Ghunt可以让个人或安全专家根据电子邮件分析目标的Google“足迹”。
这开源智能或OSINT,工具可以提取帐户所有者的名称和Google ID,YouTube频道和活动谷歌服务,包括照片和地图。
Ghunt还可以揭示公共照片,电话型号,制造,固件和安装软件,并可能是用户的物理位置。
高低狩猎
该工具是由Thomas Hertzog开发的,也称为“ MXRCH”,他希望开始从事渗透测试人员的职业。
赫特佐格告诉赫特佐格说:“ Ghunt是为了对他们的Google活动产生的公共信息以及攻击者可能从中提取的内容,或者在工作中使用Osint的人,例如在威胁狩猎中。”每日swbeplay2018官网ig。
研究人员说,他根据工作进行OSINT专家Sector035。
受到推崇的最新的网络黑客beplay体育能用吗工具 - Q3 2020
Hertzog指出,其他开发人员现在正在使用Docker和Windows子系统为Linux添加该工具(WSL) 支持。
尽管该工具可以通过免费的Gmail地址运行,但Hertzog认为这仍然可能引起企业的问题,包括G Suite(现在是Google Workspace)用户,在该用户中,员工使用了免费地址来注册服务。
“白帽和笔测试人员可以使用ghunt来测试是否存在电子邮件在笔测试中发现的是明智的,并且可能泄漏其他信息,但也可以用于狩猎威胁来识别和追踪威胁。”他说。
“我看到很多人在LinkedIn上使用他们的个人Gmail地址。人们应将其个人帐户与专业帐户分开。
“当您注册Google帐户时,您没有弹出窗口说,‘每个人都可以默认情况下访问您的Google Maps评论,而Picasa存档的照片”。
“但是我认为这也缺乏有关将这些信息公开留在公共场所的危险性的教育。大多数人不知道他们的50个Google Maps评论使我们能够使用非常基本的算法识别其可能位置。”
Hertzog说,在识别链接的YouTube频道方面,Ghunt算法的成功率也接近100%。
数据控制
Ghunt是越来越多的工具之一开源信息以编译有关在线用户的身份和活动的数据。通常,目标对象不知道可用的数据。
安全专家建议,这是一个日益增长的问题,并通过“免费”在线服务。
Mimecast的电子犯罪负责人卡尔·沃恩(Carl Wearn每日swbeplay2018官网ig。
“尽管期望隐私和不同程度的安全性,但要保持领先于本质上的缺陷或漏洞在其他人可以利用收集信息的系统中。
“我注意到该工具寻求收集的一些信息正在利用默认设置,而这些信息可以通过提供者相对无效的目的来更改这些信息”。
网络钓鱼路径
F-Secure安全顾问Stuart Morgan说:“该工具说明了通过Google的公开询问从Google帐户电子邮件地址获得的信息的数量和类型。”
“个人和企业(可以使用它)来帮助他们了解其信息可公开可获得的程度,并进行任何配置的更改或对他们认为必要的调整。”
他建议,作为OSINT工具,Ghunt可用于威胁情报收集,又用于攻击模拟。
“来自此类工具的信息可能会在更长,更复杂的攻击路径中发挥作用,例如社会工程,依赖于迅速建立可靠的关系。”
Hertzog计划继续进一步开发该工具,包括收集有关与Google帐户使用的电话模型的更多信息,并更深入地探究Google Services,包括地图和Picasa。
