Раскрытие информации через документы ВКонтакте

Вся статья в одном предложении

При загрузке документов на сервера ВКонтакте, содержащих какие-либо персональные данные, не забывайте отмечать: «Личный документ (не доступен через поиск)» или «Personal document (unavailable via search)». А лучше их вообще туда не загружать, а пересылать по почте. КО.

О чем речь?

Существует популярный способ использования гуглодорков ^[1] (применимый и к другим поисковикам), при помощи которого, например, производят поиск сайтов, подверженных каким-либо уязвимостям, или поиск «интересных» документов на сайте, которые сразу то и не найдешь, например:
google.com?q=filetype:sql ^[2] — дампы баз данных
Или целевая атака:
google.com?q=site:www.msu.ru filetype:pdf ^[3] — позволяет найти документы, которые могут как-то «скрываться» в общем интерфейсе сайта (попробуйте со своим университетом и фамилией)

Так что ВКонтакте?

ВК — кроме того, что самая популярная соц. сеть в СНГ, но и площадка для хостинга ^[4] файлов. Только проблема в том, что файлы никогда не удаляются. И если Вы уже загрузили документ — то, наверное, Вам мало кто уже с ним поможет (с его удалением).

Для кого статья?

• Для пользователей, которые, теперь, надеюсь, будут выставлять верный параметр приватности (а лучше вообще не загружать важные файлы, содержащие ПД, на такие сомнительные сервисы, как ВКонтакте. ВК — отличный инстант-мессенджер и база мультимедийного контента. Ну еще и SMM-площадка и другие вытекающие фишки)
• Для пентестеров, проводящие тестирование компаний (точечный поиск по документам + автодополнение по тегам в этом очень помогают)

Паспорта и т.п. данные данные ищутся проще простого. Более интересными выглядели данные бюджета разных крупных компаний (а так же планы на корпоративы компаний-гигантов). Привет, халатность.

Наверное, если в статье выложить уж очень интересные документы, ее рейтинг взлетит вверх как на дрожжах, но цель другая — просто предупредить о довольно капитанских вещах.

Автор: BeLove

Источник ^[5]