diciembre 2, 2021

Iskorka Security

Empresa de <Mantenimiento y Ciberseguridad > Reparaciones de equipos informáticos, mantenimiento de paginas web, análisis forense, llama para mas información

young confident plumber in uniform standing agains NSSQ2C8

¿Qué puede averiguar sobre una persona a partir de su dirección de Gmail? Comprobando con GHunt

Los servicios de Google recopilan una gran cantidad de datos sobre los usuarios, sin siempre advertir explícitamente al respecto. Esto puede ser un problema de privacidad. Por ejemplo, el desarrollador del script GHunt mostró cómo encontrar información sobre una persona usando solo la dirección de correo electrónico en Gmail.

Repositorio de proyectos en GitHub

Qué puedes aprender con GHunt:

  • Nombre del titular de la cuenta
  • Hora del último cambio de perfil
  • ID de Google
  • Servicios utilizados (Google Photos, YouTube, Google Maps, etc.)
  • Posible canal de YouTube
  • Publicaciones de reseñas y fotos en Google Maps
  • Posible ubicación
  • Citas de Google Calendar

Anteriormente, con la ayuda de GHunt, también podía acceder a fotos públicas, modelo de teléfono inteligente, firmware instalado y aplicaciones. Estas oportunidades ahora están cerradas.

6i8krCPIFkM

Las reseñas y fotos en Google Maps, así como una posible ubicación física, se pueden rastrear si el usuario no ha cerrado específicamente esta información. De forma predeterminada, el acceso público se establece en la configuración. Con Google Calendar, ocurre lo contrario. Puede ver las reuniones de otras personas solo si la persona ha abierto el acceso público a ellas.

Para usar GHunt, el autor recomienda crear una cuenta de Google vacía o tener una cuenta que rara vez usa. El script requiere cookies, que se pueden encontrar en la página de la cuenta de Google . Para obtenerlos, abra DevTools y en la pestaña Aplicación seleccione la sección Almacenamiento – Cookies. Verá exactamente qué valores necesita copiar después de ejecutar el archivo check_and_gen.py en la terminal. Las instrucciones detalladas con capturas de pantalla están en el repositorio del proyecto.

Experiencia personal: ¿qué información encontraste?

Revisé varias cuentas de correo electrónico de diferentes personas. El resultado depende de la profundidad con la que una persona esté inmersa en el ecosistema de servicios de Google. Algunas observaciones:

  1. El guión busca los canales de YouTube por nombre. Debido a esto, la precisión de la búsqueda es baja. Por ejemplo, para una cuenta de correo electrónico, GHunt encontró dos canales que definitivamente no tienen nada que ver con el usuario.
  2. Logramos averiguar la ubicación física de 2 de cada 5 usuarios.
  3. El problema en Google Maps parece interesante. Puedes ver todas las reseñas de la persona y las fotos que agregó.

El mayor problema fue el acceso gratuito a los álbumes y fotos de los usuarios. Ahora, un intento de navegar al archivo de otra persona termina con un error 404. Sin embargo, no está claro si la laguna está cerrada permanentemente. Por lo tanto, el desarrollador GHunt aconseja ir al «Archivo de álbumes» y en la configuración evitar que otros usuarios descarguen fotos y videos.

También en las discusiones del proyecto, se informó sobre la vulnerabilidad de las cuentas que usaban el servicio Picasa. Por el momento, la única solución es eliminar los álbumes de Picasa de los archivos de Google Photos.

A %d blogueros les gusta esto: