著名的 OSINT 网站 Bellingcat 报道称,基于 Foursquare 网站地理追踪 API 构建的啤酒和酒吧评分 app Untapped使军人和情报人员的安全面临风险。
Untapped app 的用户人数超过800万名,其中多数是欧洲和北美用户。研究人员通过其功能发现了遍布全球各地军事和情报位置的上述用户的敏感信息。Bellingcat 公司的研究员 Foeke Postma 撰写了如何利用该app追踪目标人物的指南。Bellingcat 是一家开源情报和调查记者网站。它最出名的是找到了击落马来西亚航空公司航班 MH17 的俄罗斯军队人员的信息。Untapped app 的运营概念较直接简单。用户进入酒吧喝啤酒。在喝酒过程中,用户用智能手机拍摄啤酒图片并对啤酒进行评分。同时用户也可对酒吧进行评分并留言。用户需要注册账户并提供某些个人详情或者通过 Facebook 登录后才能开展这些操作。Postma 指出,“Untappd 用户记录了数百个通常是数千个时间戳位置数据点。这些位置被分成900多个可能非常具体多样的类别,如‘植物园’、‘西乌克兰餐厅’、‘机场大门’等。因此,这款 app 可使任何人跟踪敏感位置之间其他用户的移动轨迹。”而如需部署 Untappd 作为情报收集工具,则只需以其普通的用户界面使用它即可。只需稍微了解这款 app 的运作原理以及访问列出酒吧和饭店详情的在线地图网站,即可极其轻松地找到在平时可能无法轻易找到的人群。The Register 使用 Bellingcat 公司提出的这些技术轻松地找到了多年来在如下地点附近饭店喝过啤酒的某名军人:GCHQ 切尔滕纳姆;位于奥尔德马斯顿的原子武器建设基地;位于格洛斯特郡南赛尔尼的一个军事基地;以及我们并未给出名字的这名军人常去的家乡酒吧。上文中提到的这名军人使用自己的照片作为 Untappd app 的资料照片。尽管 Untappd 仅展示用户的名字和缩写,但上述这名军人使用了自己的姓氏作为用户名的一部分,因此这款 app 显示的资料用户名是“Joe B.(bloggs123)”。借此,我们毫不费力地在 Linkedin 上找到了他(职位名称“分析师”)并和他家乡的邮政地址记录进行了交叉匹配。在位于苏格兰西部湖泊上方的法斯兰皇家海军核潜艇基地附近,也能看到一些酒吧,对它们的分析也硕果累累。我们假设这名军人是一名正在附近寻找饮品的口渴的士兵,记者很快在从法斯兰出发后的第一站海伦斯堡火车站附近找到了一些酒吧。借此,我们很容易地能够遍历这些酒吧最近的 Untappd 登录打卡情况,并发现了一名资料为真实面部照片的美国海军核潜艇军官。他最爱去的场所包括位于美国弗吉尼亚州诺福克市的美国海军基地内酒吧;西班牙海军基地旁的酒吧;以及“圣地亚哥海军基地”(这是一款啤酒评分 app 上出现的真实打卡位置。)在这款 app 上随意浏览这名潜水艇军官的朋友列表,记者发现了和这名男子在同一间酒吧喝酒的一名女子。这名女子在 Untappd 上的照片上还出现了孩子的面孔。虽然这款 app 本身无害,但它对于任何从事敏感工作的人员而言都应是一个教训:不要使用社交网络,如果决定使用社交网络享受工作以外的正常生活,则尝试不要将自己的确切位置定位到敏感的工作地附近。因为在某些情况下,粗心不慎的标记的代价可能是生命。
https://www.theregister.co.uk/2020/05/19/bellingcat_beer_app_osint/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~