Как ФБР деанонимизировала преступников через капчу
Не секрет, что большинство хакеров и просто любопытных пользователей интернета используют VPN или Tor для доступа к запрещенным ресурсам, особенно, если дело касается хакерских форумов. На одном из таких форумов, созданном при поддержке ФБР, был применен хитроумный план по деанонимизации пользователей.
Все из вас знают, что такое капча: находить пожарные гидранты, светофоры или лестницы и сейчас не очень приятное занятие, однако некоторое время назад капча была еще ужаснее. Искажённые и неразборчивые слова, которые необходимо было ввести.
Именно такую сложную капчу сотрудники правоохранительных органов размещали при каждом входе на подконтрольный форум, для тех, кто использовал средства сокрытия IP-адреса. Такую капчу удавалось ввести правильно далеко не с первой попытки, что и выводило людей из себя, заставляя отключить VPN и выдать свой настоящий IP.
Администрация форума объясняла это защитой от DDoS, что выглядело достаточно правдоподобно. Будьте внимательны, если на каком-то сайте, при использовании VPN не вводится капча. Возможно, кто-то пытается вас вычислить.
Не секрет, что большинство хакеров и просто любопытных пользователей интернета используют VPN или Tor для доступа к запрещенным ресурсам, особенно, если дело касается хакерских форумов. На одном из таких форумов, созданном при поддержке ФБР, был применен хитроумный план по деанонимизации пользователей.
Все из вас знают, что такое капча: находить пожарные гидранты, светофоры или лестницы и сейчас не очень приятное занятие, однако некоторое время назад капча была еще ужаснее. Искажённые и неразборчивые слова, которые необходимо было ввести.
Именно такую сложную капчу сотрудники правоохранительных органов размещали при каждом входе на подконтрольный форум, для тех, кто использовал средства сокрытия IP-адреса. Такую капчу удавалось ввести правильно далеко не с первой попытки, что и выводило людей из себя, заставляя отключить VPN и выдать свой настоящий IP.
Администрация форума объясняла это защитой от DDoS, что выглядело достаточно правдоподобно. Будьте внимательны, если на каком-то сайте, при использовании VPN не вводится капча. Возможно, кто-то пытается вас вычислить.
Как искать уязвимости на сайтах с помощью Spyse
Разведка и сбор информации - один из самых важных этапов взлома и тестирования на проникновение. По статистике, 96% веб-приложений имеют уязвимости. Но чтобы полностью проанализировать веб-сайт нужно много времени и соответствующие инструменты, которые не всегда есть под рукой.
С помощью сервиса spyse.com можно быстро получить всю необходимую информацию о цели - от IP до полноценных уязвимостей. Для этого нужно зарегистрироваться и ввести в поиск IP или домен. В ответ мы получим уязвимые хосты, открытые порты, DNS записи, субдомены, информацию о владельце, корпоративные почтовые адреса, сайты на том же IP и еще много другой ценной информации.
Используя Spyse нам удалось найти уязвимость на сервере, который поддерживает работоспособность электронных рекламных щитов (билбордов) компании Samsung. А тут специалисты Spyse рассказали как нашли 436,83 терабайт с открытых баз данных Elasticsearch.
Разведка и сбор информации - один из самых важных этапов взлома и тестирования на проникновение. По статистике, 96% веб-приложений имеют уязвимости. Но чтобы полностью проанализировать веб-сайт нужно много времени и соответствующие инструменты, которые не всегда есть под рукой.
С помощью сервиса spyse.com можно быстро получить всю необходимую информацию о цели - от IP до полноценных уязвимостей. Для этого нужно зарегистрироваться и ввести в поиск IP или домен. В ответ мы получим уязвимые хосты, открытые порты, DNS записи, субдомены, информацию о владельце, корпоративные почтовые адреса, сайты на том же IP и еще много другой ценной информации.
Используя Spyse нам удалось найти уязвимость на сервере, который поддерживает работоспособность электронных рекламных щитов (билбордов) компании Samsung. А тут специалисты Spyse рассказали как нашли 436,83 терабайт с открытых баз данных Elasticsearch.
Как проверить сайт на безопасность
Если вы заботитесь о репутации посещаемых веб-страниц с точки зрения безопасности, то вам обязательно может пригодиться ресурс под названием ScanURL.
ScanURL предназначен для проверки безопасности посещаемых веб-страниц и сайтов. Проверка безопасности ссылки осуществляется с помощью сторонней технологии поиска вредоносного ПО.
ScanURL также предоставляет десятки ссылок на антивирусные сайты, позволяющие проводить дальнейшую проверку. Для проверки безопасности ссылок регистрация не требуется. Возможность проверки файлов отсутствует.
Если вы заботитесь о репутации посещаемых веб-страниц с точки зрения безопасности, то вам обязательно может пригодиться ресурс под названием ScanURL.
ScanURL предназначен для проверки безопасности посещаемых веб-страниц и сайтов. Проверка безопасности ссылки осуществляется с помощью сторонней технологии поиска вредоносного ПО.
ScanURL также предоставляет десятки ссылок на антивирусные сайты, позволяющие проводить дальнейшую проверку. Для проверки безопасности ссылок регистрация не требуется. Возможность проверки файлов отсутствует.
Как сделать скриншот в Instagram анонимно
Многие знают, что в личных переписках инстаграм делать скриншоты фотографий опасно - собеседник сразу увидит, что вы сделали снимок экрана.
Однако, есть способ это обойти. Для этого, после того, как вы открыли фотографию нужно:
1. Нажать на кнопку ответа в левом нижнем углу.
2. В открывшейся камере сделать любое фото
3. Нажать на присланное вам фото в левом верхнем углу и увеличить его
4. Сделать скриншот экрана
Таким образом вы сможете сохранить фотографию так, чтобы ваш собеседник об этом не узнал.
Многие знают, что в личных переписках инстаграм делать скриншоты фотографий опасно - собеседник сразу увидит, что вы сделали снимок экрана.
Однако, есть способ это обойти. Для этого, после того, как вы открыли фотографию нужно:
1. Нажать на кнопку ответа в левом нижнем углу.
2. В открывшейся камере сделать любое фото
3. Нажать на присланное вам фото в левом верхнем углу и увеличить его
4. Сделать скриншот экрана
Таким образом вы сможете сохранить фотографию так, чтобы ваш собеседник об этом не узнал.
Сколько стоит создание фейковых новостей
Индустрия фейковых новостей стремительно набирает популярность начиная с 2017 года. Однако с тех пор «фабрики лайков», платные интернет-тролли и автоматизированные боты, нацеленные на распространение дезинформации и продвижение интересующих заказчика тем никуда не делись и продаются по вполне разумным ценам.
Наиболее низкие цены на подобные инструменты традиционно предлагает русскоговорящий сегмент дарквеба, причём цены держатся на стабильном уровне уже несколько лет. Бот для Twitter, обойдётся вам в 25$, а 1000 лайков на YouTube — от 26$. Некоторые сервисы предлагают 1000 лайков в Instagram всего за 15 центов, а лайки стоят $ за 1000. Twitch лайки начинаются с 50 центов за 50 лайков.
Создать очень эффективные кампании помогают базы данных, доступными на подпольных форумах, как например база данных отдельного штата США стоит всего 10$, а база данных избирателей Турции в 2019 года обойдётся вам в 400$.
Индустрия фейковых новостей стремительно набирает популярность начиная с 2017 года. Однако с тех пор «фабрики лайков», платные интернет-тролли и автоматизированные боты, нацеленные на распространение дезинформации и продвижение интересующих заказчика тем никуда не делись и продаются по вполне разумным ценам.
Наиболее низкие цены на подобные инструменты традиционно предлагает русскоговорящий сегмент дарквеба, причём цены держатся на стабильном уровне уже несколько лет. Бот для Twitter, обойдётся вам в 25$, а 1000 лайков на YouTube — от 26$. Некоторые сервисы предлагают 1000 лайков в Instagram всего за 15 центов, а лайки стоят $ за 1000. Twitch лайки начинаются с 50 центов за 50 лайков.
Создать очень эффективные кампании помогают базы данных, доступными на подпольных форумах, как например база данных отдельного штата США стоит всего 10$, а база данных избирателей Турции в 2019 года обойдётся вам в 400$.
Как изменить IMEI на смартфоне без root-прав
IMEI — уникальный идентификатор вашего телефона. Содержит 15 цифр в десятичном представлении.
Чтобы воспользоваться этим способом, вас нужно иметь телефон на процессоре MediaTek.
1. Откройте приложение "Телефон".
2. Введите
3. Перейдите во вкладку "Connectivity" -> "Radio Information" -> "Phone 1".
4. Для первой симкарты введите в поле:
Для второй:
5. После после "=" должен стоять пробел!
6. Нажмите "Send".
7. Перезагрузите устройство.
Если не получается, то после AT+ нужно поставить пробел. IMEI установленные таким способом могут слетать после сброса телефона.
IMEI — уникальный идентификатор вашего телефона. Содержит 15 цифр в десятичном представлении.
Чтобы воспользоваться этим способом, вас нужно иметь телефон на процессоре MediaTek.
1. Откройте приложение "Телефон".
2. Введите
*#*#3646633#*#*3. Перейдите во вкладку "Connectivity" -> "Radio Information" -> "Phone 1".
4. Для первой симкарты введите в поле:
AT+EGMR= 1,7,«IMEI»Для второй:
AT+EGMR= 1,10,«IMEI»5. После после "=" должен стоять пробел!
6. Нажмите "Send".
7. Перезагрузите устройство.
Если не получается, то после AT+ нужно поставить пробел. IMEI установленные таким способом могут слетать после сброса телефона.
Шифрование чатов в Telegram с двойным дном
Сегодня недооценивают проблему конфиденциальности с «тыла». Никто из нас не застрахован от того, что под давлением мы будем вынуждены показать переписку с рук. В роли принуждающего может быть кто угодно, начиная от злоумышленника и заканчивая пограничником, в любой точке мира.
Идея «двойного дна» заключается в том, что юзер, будучи под давлением, мог бы открыть Telegram и показать пустой аккаунт, где нет важных переписок. При этом злоумышленник не поймет, что ему показали лишь один из нескольких аккаунтов, скрытых в мессенджере.
Ни один из популярных мессенджеров не имеет защиты от подобной «атаки». Ребята из Postuf предлагают тебе исправить эту ситуацию на основе открытого кода Telegram. Если твое решение окажется лучшим, то ты получишь 5000$. Твоей задачей будет разработать принцип «двойного дна» в оригинальном клиенте Telegram
Сегодня недооценивают проблему конфиденциальности с «тыла». Никто из нас не застрахован от того, что под давлением мы будем вынуждены показать переписку с рук. В роли принуждающего может быть кто угодно, начиная от злоумышленника и заканчивая пограничником, в любой точке мира.
Идея «двойного дна» заключается в том, что юзер, будучи под давлением, мог бы открыть Telegram и показать пустой аккаунт, где нет важных переписок. При этом злоумышленник не поймет, что ему показали лишь один из нескольких аккаунтов, скрытых в мессенджере.
Ни один из популярных мессенджеров не имеет защиты от подобной «атаки». Ребята из Postuf предлагают тебе исправить эту ситуацию на основе открытого кода Telegram. Если твое решение окажется лучшим, то ты получишь 5000$. Твоей задачей будет разработать принцип «двойного дна» в оригинальном клиенте Telegram
Как найти дополнительную информацию в Twitter используя OSINT
При проведении OSINT любая информационная зацепка может принести плоды и Twitter не является исключением, ведь им пользуется достаточно большое количество людей. Стандартный интерфейс сервиса не предоставляет нам почти никаких возможностей в плане поисковых инструментов или инструментов фильтрации, при этом сам Twitter поддерживает множество разновидностей поисковых запросов.
Информацию можно искать по четырем ключевым параметрам:
По ключевым словам
По полной информации твита
По типу медиа
По пользователю
При проведении OSINT любая информационная зацепка может принести плоды и Twitter не является исключением, ведь им пользуется достаточно большое количество людей. Стандартный интерфейс сервиса не предоставляет нам почти никаких возможностей в плане поисковых инструментов или инструментов фильтрации, при этом сам Twitter поддерживает множество разновидностей поисковых запросов.
Информацию можно искать по четырем ключевым параметрам:
По ключевым словам
good or bad — содержит «good» ИЛИ «bad»#exploit — хештег «exploit»exploit url:twitter — содержит «exploit» и URL, в котором есть комбинация «twitter» в любой его частиПо полной информации твита
near:london within:15mi — геолокация по точке с указанием радиуса в милях (mi) или километрах (km)exploit since:2015-12-21 — содержит «exploit» и опубликован позже указанной датыexploit min_retweets:5 — содержит «exploit» и имеет минимум 5 ретвитовПо типу медиа
exploit filter:media — содержит «exploit» и любой тип медиаexploit filter:native_video — содержит «exploit» и загруженное видео, либо из PeriscopeПо пользователю
from:jack — твит отправлен от пользователя @jack@NASA — твиты, в которых был упомянут аккаунт NASAto:NASA — ответы других пользователей аккаунту NASA
Как искать конфиденциальные данные в репозиториях Github
Зачастую чувствительные данные хранятся в исходных кодах проектов, что упрощает жизнь разработчикам и в то же время специалистам по тестированию на проникновение. Не удивительно, что в Git-репозиториях хранится множество забытой информации, которая может помочь при проведении OSINT.
С помощью утилиты gittyleaks вы можете узнать утечки в Git-репозиториях, которые могут представлять из себя ключи API, имена пользователей, пароли, адреса электронной почты и многое другое.
1. Устанавливаем gittyleaks
Зачастую чувствительные данные хранятся в исходных кодах проектов, что упрощает жизнь разработчикам и в то же время специалистам по тестированию на проникновение. Не удивительно, что в Git-репозиториях хранится множество забытой информации, которая может помочь при проведении OSINT.
С помощью утилиты gittyleaks вы можете узнать утечки в Git-репозиториях, которые могут представлять из себя ключи API, имена пользователей, пароли, адреса электронной почты и многое другое.
1. Устанавливаем gittyleaks
$ pip3 install gittyleaks
$ gittyleaks -link https://github.com/githubreponame
или$ gittyleaks -user githubusername -repo githubusername
Таким образом, если в репозитории присутствует запрашиваемая вами информация, gittyleaks выдаст вам результат, который можно использовать в своих целях.
Телефон журналиста был взломан невидимой атакой
Обычный айфон, который марокканский журналист Омар Ради использовал для контакта со своими источниками, позволил правительству шпионить за ним. Они могли читать каждое электронное письмо, смотреть историю поиска; слушать каждый звонок, отслеживать координаты GPS и даже включать камеру и микрофон в любой момент.
Ради не нажимал на подозрительные ссылки. Все, что он должен был сделать, это посетить один веб-сайт. Любой сайт. Во время запроса на посещение веб-сайта, злоумышленник перехватил сотовый сигнал и заставил браузер жертвы на миллисекунды перейти на вредоносный сайт и загрузить шпионский код, который и обеспечивал удаленный доступ ко всему на телефоне. Затем браузер открыл предполагаемый веб-сайт, не давая пользователю ничего заметить.
Этот эпизод показывает, что правительства не только активно следят за интернет-трафиком и читают электронные письма журналистов и правозащитников - но они также могут делать это абсолютно незаметно.
Обычный айфон, который марокканский журналист Омар Ради использовал для контакта со своими источниками, позволил правительству шпионить за ним. Они могли читать каждое электронное письмо, смотреть историю поиска; слушать каждый звонок, отслеживать координаты GPS и даже включать камеру и микрофон в любой момент.
Ради не нажимал на подозрительные ссылки. Все, что он должен был сделать, это посетить один веб-сайт. Любой сайт. Во время запроса на посещение веб-сайта, злоумышленник перехватил сотовый сигнал и заставил браузер жертвы на миллисекунды перейти на вредоносный сайт и загрузить шпионский код, который и обеспечивал удаленный доступ ко всему на телефоне. Затем браузер открыл предполагаемый веб-сайт, не давая пользователю ничего заметить.
Этот эпизод показывает, что правительства не только активно следят за интернет-трафиком и читают электронные письма журналистов и правозащитников - но они также могут делать это абсолютно незаметно.
Утекла база 40 миллионов пользователей Telegram
Вчера в публичный доступ утекли данные более чем 40 миллионов пользователей Telegram.
Среди данных есть:
— Username
— ID
— Имя
— Номер телефона
Минимум 12 млн записей принадлежат российским пользователям. Судя по всему утечка произошла давно, а в общий доступ база попала только недавно.
Рекомендуем отключить в настройках Telegram возможность найти аккаунт по номеру телефона, а также включить отображение номера телефона только для контактов. Подробнее про меры безопасности Telegram аккаунта читайте в нашем посте тут.
Вчера в публичный доступ утекли данные более чем 40 миллионов пользователей Telegram.
Среди данных есть:
— Username
— ID
— Имя
— Номер телефона
Минимум 12 млн записей принадлежат российским пользователям. Судя по всему утечка произошла давно, а в общий доступ база попала только недавно.
Рекомендуем отключить в настройках Telegram возможность найти аккаунт по номеру телефона, а также включить отображение номера телефона только для контактов. Подробнее про меры безопасности Telegram аккаунта читайте в нашем посте тут.
Как избежать деанонимизации через Telegram
В дополнение ко вчерашнему посту про утечку базы 40 миллионов пользователей Telegram, хочу добавить еще один совет для того, чтобы вы последствии не попадали в такие базы.
В большинстве случаев информация в них попадает из ботов. Базы данных, которые боты собирают на своих пользователей часто становятся объектами утечек, а также существуют боты, единственная цель которых - собирать информацию о номерах телефонов, а иногда и геолокации пользователей
Когда бот запрашивает информацию о номере телефона, пользователю высвечивается соответствующе предупреждение. Однако, кнопка может быть замаскирована, а предупреждение о расшаривании номера может быть заменено на какой-нибудь безобидный текст, с помощью бага, о котором мы уже писали здесь.
В дополнение ко вчерашнему посту про утечку базы 40 миллионов пользователей Telegram, хочу добавить еще один совет для того, чтобы вы последствии не попадали в такие базы.
В большинстве случаев информация в них попадает из ботов. Базы данных, которые боты собирают на своих пользователей часто становятся объектами утечек, а также существуют боты, единственная цель которых - собирать информацию о номерах телефонов, а иногда и геолокации пользователей
Когда бот запрашивает информацию о номере телефона, пользователю высвечивается соответствующе предупреждение. Однако, кнопка может быть замаскирована, а предупреждение о расшаривании номера может быть заменено на какой-нибудь безобидный текст, с помощью бага, о котором мы уже писали здесь.
Как всегда запускать Edge в приватном режиме
Если вы используете Microsoft Edge на общем ПК и хотите, чтобы история браузера оставалась конфиденциальной, вы можете настроить запуск Edge в режиме InPrivate.
InPrivate - это название приватного режима просмотра Microsoft Edge. При использовании InPrivate, Edge удаляет локальную историю просмотров, когда вы закрываете все окна браузера.
1. Нажмите ПКМ на ярлыке Edge.
2. Выберите "Свойства".
3. В поле "Объект" добавьте:
"
4. Нажмите "ОК".
В следующий раз, когда вы откроете Edge через этот ярлык, браузер запустится в режиме InPrivate.
Если вы используете Microsoft Edge на общем ПК и хотите, чтобы история браузера оставалась конфиденциальной, вы можете настроить запуск Edge в режиме InPrivate.
InPrivate - это название приватного режима просмотра Microsoft Edge. При использовании InPrivate, Edge удаляет локальную историю просмотров, когда вы закрываете все окна браузера.
1. Нажмите ПКМ на ярлыке Edge.
2. Выберите "Свойства".
3. В поле "Объект" добавьте:
"
-inprivate". Пробел обязательно.4. Нажмите "ОК".
В следующий раз, когда вы откроете Edge через этот ярлык, браузер запустится в режиме InPrivate.
В открытом доступе находится более 80 000 принтеров
Специалисты просканировали четыре миллиарда адресов IPv4 в поисках принтеров с открытым портом IPP, который позволяет управлять подключенными к интернету принтерами и удаленно отправлять им задания на печать. Ежедневно они обнаруживают около 80 000 уязвимых принтеров, что составляет примерно восьмую часть от общего количества IPP принтеров, подключенных к интернету.
Многие принтеры с поддержкой IPP охотно сообщают дополнительную информацию о себе, в том числе имя устройства, данные о местоположении, модели, версии прошивки, названии организации и даже Wi-Fi SSID. Такая информация сильно облегчает злоумышленникам процесс атаки на корпоративные сети.
Существует много инструментов для взлома принтеров посредством IPP. Например PRET, который в прошлом уже использовался для массового взлома принтеров, и печати на них произвольных сообщений. Как использовать данный инструмент мы уже писали.
Специалисты просканировали четыре миллиарда адресов IPv4 в поисках принтеров с открытым портом IPP, который позволяет управлять подключенными к интернету принтерами и удаленно отправлять им задания на печать. Ежедневно они обнаруживают около 80 000 уязвимых принтеров, что составляет примерно восьмую часть от общего количества IPP принтеров, подключенных к интернету.
Многие принтеры с поддержкой IPP охотно сообщают дополнительную информацию о себе, в том числе имя устройства, данные о местоположении, модели, версии прошивки, названии организации и даже Wi-Fi SSID. Такая информация сильно облегчает злоумышленникам процесс атаки на корпоративные сети.
Существует много инструментов для взлома принтеров посредством IPP. Например PRET, который в прошлом уже использовался для массового взлома принтеров, и печати на них произвольных сообщений. Как использовать данный инструмент мы уже писали.
Друзья, если у Вас есть интересные идеи для публикации: советы, фичи, новости или любые другие предложения - добро пожаловать в нашего бота @exploitex_bot.
Будем рады абсолютно всем Вашим идеям, а лучшие предложения обязательно опубликуем на канале.
Будем рады абсолютно всем Вашим идеям, а лучшие предложения обязательно опубликуем на канале.
Самая мощная DDoS атака в истории
В прошлое воскресение, 21 июня 2020 года, крупный европейский банк стал мишенью для одной из мощнейших DDoS-атак в истории. Хотя мощность этой атаки составила лишь 418 Гбит/сек, при этом эксперты фиксировали до 809 миллионов пакетов в секунду.
По мнению экспертов, за этим инцидентом стоит новый ботнет, таким образом впервые заявивший о себе. Многие IP-адреса, участвовавшие в атаке, были замечены впервые. Во время атаки количество IP-адресов, обычно наблюдаемых для этого клиента, подскочило в 600 раз.
Стоит отметить, что DDoS-атаки бывают разными: их интенсивность измеряется в битах в секунду (BPS), пакетах в секунду (PPS) или запросах в секунду (RPS). Так, атаки на максимальный BPS обычно направлены на исчерпание интернет-канала, PPS чаще используются для атак на сетевые устройства и приложения в облаках и дата-центрах, а обычные мишени RPS-атак — это edge-серверы, где выполняются веб-приложения.
Эксплойт / #новость
В прошлое воскресение, 21 июня 2020 года, крупный европейский банк стал мишенью для одной из мощнейших DDoS-атак в истории. Хотя мощность этой атаки составила лишь 418 Гбит/сек, при этом эксперты фиксировали до 809 миллионов пакетов в секунду.
По мнению экспертов, за этим инцидентом стоит новый ботнет, таким образом впервые заявивший о себе. Многие IP-адреса, участвовавшие в атаке, были замечены впервые. Во время атаки количество IP-адресов, обычно наблюдаемых для этого клиента, подскочило в 600 раз.
Стоит отметить, что DDoS-атаки бывают разными: их интенсивность измеряется в битах в секунду (BPS), пакетах в секунду (PPS) или запросах в секунду (RPS). Так, атаки на максимальный BPS обычно направлены на исчерпание интернет-канала, PPS чаще используются для атак на сетевые устройства и приложения в облаках и дата-центрах, а обычные мишени RPS-атак — это edge-серверы, где выполняются веб-приложения.
Эксплойт / #новость
Google будет автоматически удалять данные пользователей
Теперь данные пользователей, включая историю поисковых запросов, геолокацию и голосовые команды, когда-либо переданные с помощью ассистента Google, у всех новых пользователей будут автоматически удаляться через 18 месяцев. Текущие пользователи могут сами включить автоудаление через 3 или 18 месяцев в ручном режиме, на странице с Activity controls.
Ранее Google хранила подобную информацию без ограничения срока, позволяя использовать собранные данные для более точного отображения целевой рекламы. В Google поясняют, что таким образом компания хочет показать приверженность принципам конфиденциальности, безопасности и свободы выбора для пользователей.
Однако, по экспертов, функция автоматического удаления данных бесполезна, так как ценность для рекламщиков представляют только свежие данные, собранные за последний месяц, а данные старше для целевой рекламы практически не используются.
Эксплойт / #приватность
Теперь данные пользователей, включая историю поисковых запросов, геолокацию и голосовые команды, когда-либо переданные с помощью ассистента Google, у всех новых пользователей будут автоматически удаляться через 18 месяцев. Текущие пользователи могут сами включить автоудаление через 3 или 18 месяцев в ручном режиме, на странице с Activity controls.
Ранее Google хранила подобную информацию без ограничения срока, позволяя использовать собранные данные для более точного отображения целевой рекламы. В Google поясняют, что таким образом компания хочет показать приверженность принципам конфиденциальности, безопасности и свободы выбора для пользователей.
Однако, по экспертов, функция автоматического удаления данных бесполезна, так как ценность для рекламщиков представляют только свежие данные, собранные за последний месяц, а данные старше для целевой рекламы практически не используются.
Эксплойт / #приватность
Как узнать в каких чатах состоит пользователь Telegram
Для сбора информации и деанонимизиции пользователей мессенджера Telegram применяются различные методы. Одним из таких является проверка членом каких публичных чатов является тот или иной пользователь.
С помощью бота @TeleSINT_Bot можно узнать в каких публичных чатах состоит пользователь телеграм. Чтобы найти информацию о пользователе по username - отправьте его боту и нажмите кнопку «Username». Если у пользователя нет username, то отправьте его числовой id в формате "123456" и нажмите кнопку «Поиск ID».
Каждому новому пользователю даётся 3 запроса. Чтобы получить больше запросов можно отправить боту ссылку на любую открытую группу, после чего выбрать меню «Добавить группу». Если группы нету в базе и в ней более 20 участников, то вы получите 3 запроса.
Эксплойт / #OSINT
Для сбора информации и деанонимизиции пользователей мессенджера Telegram применяются различные методы. Одним из таких является проверка членом каких публичных чатов является тот или иной пользователь.
С помощью бота @TeleSINT_Bot можно узнать в каких публичных чатах состоит пользователь телеграм. Чтобы найти информацию о пользователе по username - отправьте его боту и нажмите кнопку «Username». Если у пользователя нет username, то отправьте его числовой id в формате "123456" и нажмите кнопку «Поиск ID».
Каждому новому пользователю даётся 3 запроса. Чтобы получить больше запросов можно отправить боту ссылку на любую открытую группу, после чего выбрать меню «Добавить группу». Если группы нету в базе и в ней более 20 участников, то вы получите 3 запроса.
Эксплойт / #OSINT
Как локально заблокировать сайт на Windows 10
Если вам понадобилось заблокировать доступ к сайту у себя на ПК, то это можно сделать при помощи изменения определенного системного файла:
1. Запустите программу блокнот от имени администратора.
2. В блокноте, в меню выберите Файл -> Открыть.
3. Пройдите в папку "C:\Windows\System32\drivers\etc".
4. Поставьте отображение всех файлов в блокноте.
5. Откройте файл hosts, который без расширения.
6. Добавьте в строку, заменив vk.com на нужный сайт:
7. Нажмите "Ctrl + S".
8. Перезагрузите ПК.
После этого, если перейти по vk.com, то браузер выведет сообщение об ошибке соединения с сайтом.
Эксплойт / #windows
Если вам понадобилось заблокировать доступ к сайту у себя на ПК, то это можно сделать при помощи изменения определенного системного файла:
1. Запустите программу блокнот от имени администратора.
2. В блокноте, в меню выберите Файл -> Открыть.
3. Пройдите в папку "C:\Windows\System32\drivers\etc".
4. Поставьте отображение всех файлов в блокноте.
5. Откройте файл hosts, который без расширения.
6. Добавьте в строку, заменив vk.com на нужный сайт:
127.0.0.1 vk.com.7. Нажмите "Ctrl + S".
8. Перезагрузите ПК.
После этого, если перейти по vk.com, то браузер выведет сообщение об ошибке соединения с сайтом.
Эксплойт / #windows
Как Вконтаке может делиться вашей геолокацией
Помимо геолокации на фотографиях, как оказалось, «спалить» свое местоположение через ВК можно еще одним способом. В мобильном приложении для Андроид и IOS при переходе в раздел "Друзья" — «Добавить друга» происходит разглашение примерной геолокации, без всякого предупреждения.
Таким образом любой пользователь, который не ограничил доступ к геолокации приложения и вошел в раздел «Друзья» — «Добавить друга», даже не заходя в раздел в «Найти рядом со мной», демонстрирует свою геолокацию другим пользователям, сам об этом не подозревая.
Если на одном телефоне вы зайдете в «Друзья» — «Добавить друга», а на втором в «Найти рядом с мной», то на втором вы увидите аккаунт первого телефона, если он находится поблизости. Если вы не хотите, чтобы ВК незаметно разглашал ваше местоположении, то рекомендуем отключить геолокацию для приложения в настройках.
Эксплойт / #приватность
Помимо геолокации на фотографиях, как оказалось, «спалить» свое местоположение через ВК можно еще одним способом. В мобильном приложении для Андроид и IOS при переходе в раздел "Друзья" — «Добавить друга» происходит разглашение примерной геолокации, без всякого предупреждения.
Таким образом любой пользователь, который не ограничил доступ к геолокации приложения и вошел в раздел «Друзья» — «Добавить друга», даже не заходя в раздел в «Найти рядом со мной», демонстрирует свою геолокацию другим пользователям, сам об этом не подозревая.
Если на одном телефоне вы зайдете в «Друзья» — «Добавить друга», а на втором в «Найти рядом с мной», то на втором вы увидите аккаунт первого телефона, если он находится поблизости. Если вы не хотите, чтобы ВК незаметно разглашал ваше местоположении, то рекомендуем отключить геолокацию для приложения в настройках.
Эксплойт / #приватность
