OSINT

Jak wiele informacji o sobie można znaleźć w Internecie? Jeżeli nie wiesz gdzie ich szukać - to też nie wiesz, że czasami można je usunąć.

Opublikowano 02.01.2023 18:37

Uwaga: wszystkie linki podane w tym artykule możesz ściągnąć w formie wygodnego pliku PDF tutaj.

Cel materiału

Zastanawiałeś się jak wiele informacji o sobie można znaleźć w Internecie? Jeżeli nie wiesz gdzie ich szukać - to też nie wiesz, że czasami można je usunąć.

Wyszukiwarki to oczywiste miejsca gdzie mogą być Twoje dane. Ale warto wiedzieć, co wie o Tobie Google.

Zobaczysz tam zebrane informacje, które mogą być wykorzystane przez reklamodawców podczas wyświetlania reklam. Podobne informacje znajdziesz na Facebooku.

No dobrze - ale gdzie jeszcze możemy szukać?

Biały wywiad to działalność, która polega na zdobywaniu informacji ze źródeł jawnych oraz takich, które są ogólnie dostępne.

https://dkdetektyw.pl/osint-bialy-wywiad/

Informacje publiczne definiuje również ustawa o dostępie do informacji publicznej.

Co więcej, istnieje portal dane.gov.pl, stworzony z myślą o:

⚬ obywatelach zainteresowanych działaniami państwa

⚬ firmach, które budują innowacyjne produkty i usługi oparte na danych

⚬ organizacjach pozarządowych, wykorzystujących dane w codziennej pracy

⚬ naukowcach prowadzących badania

⚬ urzędnikach przygotowujących raporty i analizy.

https://dane.gov.pl/about

Adres zamieszkania i PESEL

Jeżeli masz działalność gospodarczą - imię, nazwisko, PESEL, czy adres - znajdują się w CEIDG. To, jakie dane się tam znajdują, definiuje odpowiednia ustawa.

Podobnie, jeżeli jesteś powiązany ze spółką. Wtedy te dane można znaleźć w EKRS.

Powiązania osób z różnymi firmami można łatwo znaleźć korzystając z zewnętrznych witryn. Prezes UODO uznała, że:

Wolno gromadzić dane osobowe dostępne w publicznych rejestrach i następnie udostępniać je odpłatnie przez Internet. Właściciele witryn powielających dane, np. z KRS nie muszą ani informować o tym osób, których te dane dotyczą, ani respektować ich prawa do sprzeciwu.

https://www.prawo.pl/biznes/rodo-nie-utrudnia-przetwarzania-danych-z-jawnych-rejestrow,373892.html

Jeżeli masz uzasadniony interes prawny (np. ktoś jest Twoim dłużnikiem) - możesz wypełnić wniosek o udostępnienie danych z rejestru PESEL.

Warto również pamiętać, że nasze dane adresowe są przetwarzane przez sklepy internetowe (oraz platformy sprzedażowe w stylu Allegro). Teoretycznie możemy poprosić o ich usunięcie. Informacje o tym jak to zrobić zazwyczaj znajdują się w polityce danych osobowych.

Jeżeli korzystasz z kwalifikowanego podpisu elektronicznego, to każdy dokument przez Ciebie podpisany zawiera nie tylko Twoje imię i nazwisko, ale także numer PESEL. Pole, które zawiera PESEL nazwano PNOPL.

Korzystając z serwisu Geoportal można sprawdzić wielkość działki. Jeszcze do niedawna można tam było również znaleźć numer Księgi Wieczystej - ale UODO zabroniło udostępniania numerów. Nadal można je znaleźć korzystając z komercyjnych serwisów, ale ich sytuacja prawna jest nie do końca jasna.

Jeżeli posiadasz numer księgi wieczystej - możesz sprawdzić jej treść korzystając z Elektronicznej Księgi Wieczystej. Każda księga zawiera cztery działy:

  • pierwszy obejmuje oznaczenie nieruchomości oraz wpisy praw związanych z jej własnością,
  • drugi obejmuje wpisy dotyczące własności i użytkowania wieczystego,
  • trzeci przeznaczony jest na wpisy dotyczące ograniczonych praw rzeczowych, z wyjątkiem hipotek, na wpisy ograniczeń w rozporządzaniu nieruchomością lub użytkowaniem wieczystym oraz na wpisy innych praw i roszczeń, z wyjątkiem roszczeń dotyczących hipotek,
  • czwarty przeznaczony jest na wpisy dotyczące hipotek.

Dane finansowe

Jeżeli jesteś osobą publiczną - można sprawdzić Twoje zarobki.

Tak samo można sprawdzić sprawozdania finansowe spółek. Mają one obowiązek publikowania takich danych raz do roku w systemie Ministerstwa Sprawiedliwości.

Jeżeli masz długi - możesz zostać wpisany na listę dłużników. Jeżeli dłużnikiem jest osoba fizyczna, można publikować jej dane (z pominięciem numeru posesji).

Jeżeli posiadasz kredyty (lub korzystasz z kart kredytowych) Twoje informacje są zbierane w systemie BIK. Firma ta pozwala na wykupienie płatnych raportów, w których znajduje się nasza historia kredytowa.

Mało osób wie jednak, że raz na pół roku możemy poprosić o udostępnienie bezpłatnej kopii danych BIK. Informacja o tym znajduje się na podstronie RODO.

Istnieje jeszcze kilka innych firm tego rodzaju. Więcej o nich opowiadam w materiale o kradzieży tożsamości.

Jeżeli firma jest płatnikiem VAT - jej numer konta znajduje się w specjalnym rejestrze.

Starosta (lub prezydent miasta) prowadzi Rejestr Cen i Wartości Nieruchomości. W zależności od miasta - odnośniki do specjalnych serwisów można znaleźć bezpośrednio w Geportalu. Czasami trzeba jednak napisać email na specjalny adres.

Jeżeli bierzesz udział w przetargach - to są tam podane kwoty. Niektóre elementy mogą nie być jawne (na podstawie przepisów o ochronie informacji niejawnej).

Również kwoty z projektów unijnychjawne. Mapa Dotacji UE pozwala na szybkie zweryfikowanie jakie środki otrzymał dany projekt.

Wyniki konkursów PARP również można sprawdzić w Internecie.

Jeśli kupujesz reklamy na Facebooku - można sprawdzić listę bieżących reklam wykupionych przez konkretną firmę.

Informacje o firmie

Większość elektroniki sprzedawanej w USA musi posiadać identyfikator FCC. Wpisy w tej bazie zdradzają wiele informacji. Można tam znaleźć między innymi instrukcję obsługi czy też zdjęcia przedmiotu z wewnątrz i zewnątrz.

Informacje o patentach i znakach towarowych mogą zdradzić czym obecnie zajmuje się Twoja firma (i jakie produkty i usługi chce wypuścić w niedalekiej przyszłości).

Jeżeli korzystasz z AWS S3 - uważaj na publiczne kubełki. Istnieją firmy, które agregują dane zawarte w takich zasobach. A zazwyczaj (pośród informacji publicznych) można tam znaleźć dane potencjalnie wrażliwe.

Jeżeli posiadasz kilka stron Internetowych i korzystasz z Google Analytics, to wiesz, że aby śledzić ruch - strona musi zawierać specjalny tag. Ten tag składa się z trzech elementów:

  • ciągu UA
  • identyfikatora konta
  • identyfikatora strony

Jeżeli korzystasz z tego samego konta na kilku różnych witrynach - można je z Tobą połączyć - ponieważ identyfikator zaczyna się od tego samego ciągu. Istnieją specjalne wyszukiwarki, które odnajdują powiązane ze sobą witryny właśnie na podstawie tej wartości.

Jeżeli starałeś się o pozwolenie na budowę - można je znaleźć w publicznej wyszukiwarce RWDZ. Widać tam co (i gdzie) jest budowane (lub będzie).

Otrzymałeś podejrzanego maila? Nie wiesz czy to złośliwe oprogramowanie? Jeżeli wyślesz plik do serwisu VirusTotal, to będzie on dostępny dla kilkunastu firm antywirusowych (oraz innych niezależnych badaczy). Nie powinno się więc wysyłać tajnych danych do tego serwisu - bo ich usunięcie jest niemożliwe.

Tworzysz nowy produkt? Pamiętaj, że nowe domeny (i subdomeny), do których wygenerowany jest certyfikat SSL - są publiczne. Można je sprawdzić w Certificate Transparency Log.

Według ustawy:

Faktura powinna zawierać kolejny numer nadany w ramach jednej lub więcej serii

https://www.infor.pl/akt-prawny/230593,ustawa-o-podatku-od-towarow-i-uslug.html

Może to wykorzystać Twoja konkurencja. Wystarczy, że kupi elektroniczny produkt za 1 PLN i sprawdzi jaki numer faktury otrzymała. Na tej podstawie można obliczyć hipotetyczne zyski firmy.

Często nowi użytkownicy trafiają na nasze strony z wyszukiwarek. Można sprawdzić słowa kluczowe, które są powiązane z naszą firmą. Inni mogą to wykorzystać do pozycjonowania (i przejęcia części naszych klientów).

Pamiętaj też, że Linkedin pokazuje naszych pracowników.

Twarz

Teoretycznie przetwarzanie danych wrażliwych (czyli między innymi danych biometrycznych) wymaga zgody.

Standardowe zapytanie w Google nie wyszukuje twarzy. Ale... jeżeli przejdziemy do wyszukiwania zaawansowanego w opcji typ obrazu możemy już wybrać twarz.

Działa to zaskakująco dobrze (i zwraca inne wyniki niż standardowe wyszukiwanie obrazem).

Jeśli nie chcemy aby nasza twarz była widoczna w wynikach wyszukiwania najprościej usunąć oryginalne zdjęcie. Jeżeli nie możesz tego zrobić (i nie masz kontaktu z właścicielem strony) możesz wypełnić specjalny formularz.

Po usunięciu obrazu - możemy zgłosić go w narzędziu usuwania nieaktualnej treści.

Tylko, że Google to nie wszystko. Istnieje wiele innych wyszukiwarek obrazów.

Yandex dla przykładu posiada wbudowany OCR. Oznacza to, że jest w stanie rozpoznać tekst znajdujący się na obrazku.

Niektóre wyszukiwarki specjalizują się wyłącznie w wyszukiwaniu twarzy. Według regulaminu możemy tam przesłać tylko swoje zdjęcie. Legalność takich działań bada UODO.

Również Facebook i TinEye pozwala na znajdowanie twarzy.

Czasami próbujemy anonimizować treść na zdjęciu korzystając z algorytmu blur (czyli rozmycia).

Istnieje wiele narzędzi, które mogą odwrócić ten proces:

Znany jest przypadek poszukiwanej osoby, która wrzuciła rozmazane zdjęcie do Internetu. Odpowiedni algorytm przywrócił zdjęcie do czytelnej postaci, dzięki czemu udało się odnaleźć przestępcę.

Numer telefonu

Nasz numer telefonu można znaleźć na różnych stronach internetowych. PhoneInfoga wyszukuje numery (podane w różnych postaciach).

Ale nasz numer może wejść w posiadanie serwisów poprzez naszych znajomych. Istnieją aplikacje, które zbierają numery kontaktów z naszego telefonu i na ich podstawie tworzą bazę danych. Te najpopularniejsze to:

Każdy z tych serwisów pozwala na usunięcie własnego numeru. Musimy jedynie wypełnić specjalny formularz.

Znając nasz numer telefonu można próbować zamienić go na email. Jak? Niektóre serwisy pozwalają na resetowanie hasła (lub przypominanie nazwy użytkownika) na podstawie numeru telefonu. Wyświetlają wtedy część (lub całość) adresu email. Facebook dla przykładu pokazuje pierwszą literę adresu powiązanego z danym numerem.

W podobny sposób można poszukiwać naszych znajomych w innych serwisach społecznościowych.

Email

Google pozwala na wykorzystanie operatorów. Wykorzystując intext orz podając poszukiwanie słowo między cudzysłowami zawężamy nasze wyniki wyszukiwania.

Nasz adres email (podobnie jak telefon) można wykorzystać do znajdowania kont na Flickr, Facebooku i innych mediach społecznościowych.

Czasami te funkcje są schowane (jak w przypadku Linkedina). Oczywiście wszystko to możemy wyłączyć (o ile oczywiście znajdziemy odpowiednie opcje).

Istnieją również firmy wyspecjalizowane w zbieraniu tylko i wyłącznie adresów e-mail, znajdujących się w publicznym Internecie.

Możemy usunąć nasz adres (wcześniej potwierdzając, że jesteśmy jego właścicielem).

Adres email wraz z hasłem często widnieje w różnych wyciekach baz danych. Możemy sprawdzić z jakich stron wykradziono nasze dane korzystając z serwisu Have I Been Pwned. Jeśli nie chcesz, aby inni (poza Tobą) mogli to zrobić - zweryfikuj swój adres na odpowiedniej podstronie.

Jakiś czas temu popularność zdobyła usługa Gravatar. Jeżeli tworzyłeś konta na kilkunastu stronach i byłeś znudzony wysyłaniem tego samego avatara cały czas - ten serwis rozwiązywał ten problem. Jeżeli w przeszłości powiązałeś swój email ze zdjęciem - te dane dalej są dostępne. Podobnie w przypadku Gmaila - tam również można ustawić zdjęcie profilowe.

Jeżeli nie korzystasz z menadżera haseł i nie zapisujesz stron, na których tworzysz nowe konta - mogłeś zapomnieć, że gdzieś kiedy założyłeś swój profil. Na pomoc przychodzi WhatsMyName. Wystarczy podać login, którym zazwyczaj posługujemy się w Internecie a witryna sprawdzi, gdzie istnieją konta o podanej nazwie.

Po co nam ta wiedza? Serwisy społecznościowe zbierają wiele informacji na nasz temat. Poniżej grafika pokazująca ile informacji można pozyskać z Twittera.

Gdy umieszczasz zdjęcia zrobione aparatem (bądź telefonem) na własnej stronie - sprawdź, czy Twój system zarządzania treścią usuwa z obrazów dane EXIF. Mogą się tam znajdować dodatkowe informacje na temat zdjęcia (przesłona, czas, numer seryjny aparatu) ale również koordynaty GPS. Jeżeli zdjęcie zrobiłeś w swoim domu a aparat dodał do niego Twoją lokalizację - na tej podstawie będzie można stwierdzić gdzie mieszkasz.

Wiele innych formatów pozostawia w plikach dodatkowe metadane. Pakiet Office dla przykładu pozostawia tam imię i nazwisko autora dokumentu. Dane te można usunąć - należy jednak skorzystać z inspektora dokumentów.

Jeżeli często biegasz/jeździsz na rowerze, to pewno korzystasz z serwisów typu Strava, które pozwalają na zapis treningów. Sprawdź dokładnie jakie dane tam udostępniasz. Mogą to być nie tylko wzrost lub waga, ale także popularne trasy, którymi się poruszasz. Takie informacje to kopalnia wiedzy dla potencjalnych złodziei. Może warto udostępniać takie szczegóły tylko znajomym?

Tak samo można sprawdzić w jakie gry grasz na platformie Steam, bądź jakiej muzyki słuchasz na Spotify.

Ilość danych, które posiadają o nas firmy może zaskoczyć. Poniżej przykład serwisu muzycznego Spotify oraz opis danych zebranych na nasz temat.

Możesz samemu o nie poprosić korzystając z odpowiedniej opcji w menu użytkownika.

Duże serwisy mają tą funkcję zautomatyzowaną:

Nasze dane (i dane przodków) można znaleźć w serwisach o drzewach genealogicznych. Ale informacje o nazwiskach można także pozyskać z wyszukiwarek osób pochowanych. Często można tam również zdjęcia nagrobków oraz dokładną ich lokalizację na cmentarzu.

Warto pamiętać, że w Internecie nie jesteśmy niewidzialni. Wiele serwisów zapisuje nasz adres IP.

Pewnym zabezpieczeniem przed tą praktyką może być wyłączenie wyświetlania zewnętrznych grafik w wiadomościach email.

Masz samochód? W Internecie można sprawdzić:

Usuwanie danych

Wiemy już jak wiele informacji o nas można znaleźć. Niestety, nie zawsze możemy je usunąć. Warto tutaj pamiętać o Efekcie Streisand:

Rodzaj internetowego zjawiska, w którym na skutek prób cenzurowania lub usuwania pewnych informacji (plików, zdjęć czy nawet całych stron internetowych) dochodzi w krótkim czasie do rozpowszechnienia ich wśród jak najszerszej grupy odbiorców, na przykład poprzez stosowanie tak zwanych mirrorów bądź poprzez sieci peer-to-peer.

https://pl.wikipedia.org/wiki/Efekt_Streisand

Jednak niektóre dane możemy próbować usunąć. Jeżeli Twój dom/mieszkanie widnieje w Google Street View - możesz poprosić o jego zamazanie.

Chociaż takie działanie może przynieść odwrotny efekt od zamierzonego (ponieważ zamazane miejsca bardziej zwracają na siebie uwagę niż normalne budynki).

Web Archive to witryna, która przechowuje stare wersje stron Internetowych. Dzięki temu możemy zobaczyć jak wyglądały popularne portale kilkanaście lat temu.

Jeżeli chcemy usunąć takie dane - musimy wysłać wiadomość email na odpowiedni adres.

Instagramowe Stories zazwyczaj są widoczne jedynie przez 24 godziny - po tym czasie znikają. Warto jednak pamiętać, że każdy może je pobrać przy pomocy specjalnych narzędzi.

Z usuwaniem danych wiąże się też usuwanie kont z serwisów, z których już nie chcemy korzystać. Procedura ta nie zawsze jest prostą czynnością. Istnieje portal JustDelete.me, który zawiera katalog pomocnych w tym linków i poradników.

Wszystkie linki wspomniane w tym artykule możesz ściągnąć w formie wygodnego pliku PDF tutaj.

Tematyka OSINT Cię zainteresowała? Chciałbyś poznać więcej narzędzi? Zobacz OSINT Framework - specjalną mapę myśli podzieloną na różne kategorię.