Конкурентная разведка на PHDays 2012

в 7:52, , рубрики: PHDays, Блог компании Positive Technologies, информационная безопасность, конкурентная разведка, конкурс, метки: , ,

Конкурентная разведка на PHDays 2012Мы продолжаем свой рассказ о соревнованиях, прошедших в рамках форума по информационной безопасности Positive Hack Days 2012. Сегодня речь пойдет об одном из самых популярных онлайн-конкурсов форума — о «Конкурентной разведке», в ходе которой проверялись навыки поиска скрытой информации в сети Интернет.

Для участия в соревновании зарегистрировались 150 участников, 60 из них смогли успешно справиться как минимум с одним заданием. Пользователь mchumichev захватил лидерство в первый день и смог удержать его до конца конкурса, а вот за второе и третье место шла напряженная борьба. В итоге многие участники набрали одинаковое количество баллов, но победителями были признаны только самые быстрые.

Правила

На странице конкурса были опубликованы вопросы, связанные с компанией Disa Retail — поставщиком картофеля.

Конкурентная разведка на PHDays 2012

Ответы на эти вопросы нужно было искать в Интернете, в различных социальных сетях, как популярных в нашей стране, так и более известных за рубежом (Facebook, Xing, Badoo, Pastebin).

Вопросы

По ходу конкурса счетчик неправильных ответов несколько раз обнулялся, и у участников появлялась возможность еще раз ответить на вопросы, на которые они до этого ответили неверно. Вот полный список вопросов на английском языке (форум PHDays и само соревнование собрали участников из разных стран):

1. Director full name
2. Head office address
3. Chief financial officer hobby (CFO)
4. Count of employees
5. Chief human resources officer salary (CHRO)
6. Chief marketing officer dog's breed (CMO)
7. Chief business officer hometown (CBO)
8. Chief technology officer favorite film (CTO)
9. Chief information officer favorite football team (CIO)
10. Net Income for 2011
11. The main competitor of the company
12. Chief information security officer birthday (CISO)
13. Chief learning officer auto (CLO)
14. Chief risk officer phone number (CRO)
15. Chief web officer favorite band (CWO)
16. Number of offshore account

Некоторые вопросы были не такими простыми, как казалось на первый взгляд. Кроме того, зачастую участники путали название фирмы с похожим названием другой, реально существующей компании (Disa Retail Atlantico), и количество неверных ответов оказалось в результате достаточно велико.

В ходе соревнования

Начинать поиски участникам соревнований удобнее всего было с сайта компании disaretail.com, содержимое которого к моменту начала конкурса было удалено, но осталось в кэше поисковых систем. Порывшись в закэшированных страницах можно было найти ответы на два первых вопроса. Подбирая папки на сайте можно было обнаружить папку /docs/, в которой содержался финансовый отчет компании, в котором были ответы еще на два вопроса: чистый доход компании за 2011 год и номер ее оффшорного счета.

Много полезной информации о сотрудниках Disa Retail, которая была необходима для выполнения заданий конкурса, можно было достать с сайта linkedin.com, в том числе адреса их аккаунтов в Твиттере (одного и второго), в которых также содержались ответы и подсказки.

Информацию о компании и количестве ее сотрудников можно было найти на Facebook. Зарплату одного из сотрудников компании можно было узнать из записи разговора в чате, выложенном на Pastebin. Кроме того, ответы на некоторые вопросы можно было обнаружить в профилях сотрудников компании на сайтах знакомств (например, тут и тут).

Победители

Чтобы успешно выполнить задания конкурса, участникам необходимо было расширить привычный набор инструментов поиска: победители соревнования использовали сразу несколько поисковых систем и социальных сетей. Пьедестал почета выглядит так:

I. mchumichev;
II. djecka;
III. Maxfrost.

Кроме того, merced 2001, который занял IV место, написал отличный пост с разбором конкурсных заданий.

Победители получили памятные призы и подарки. Поздравляем!

P. S. Некоторые участники пытались просто угадать ответы, но это оказалось уж очень сложно :) В следующем году мы постараемся сделать конкурс «Конкурентная разведка» еще более насыщенным и интересным.

Автор: ptsecurity

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js