Spam do Googla dzięki Picasa Google
Picasa jako baza adresów e-mailowych do spamowania? Bardzo prosto i to nawet dzięki wyszukiwarce od tej samej korporacji. Wystarczy proste zapytanie:
"picasaweb.google.com/*"
i w wyniku dostajemy ponad 1,580,000 wyników, gdzie ktoś był tak miły, że linkował do jakiegoś albumu. Dzięki temu w prosty sposób mamy dość pokaźną listę potencjalnych ofiar.
Ofiar się spytasz? Owszem. Adres użytkownika w Picasa ma formę:
picasaweb.google.com/%user%
co przekłada się na adres Gmailowy, czyli:
%user%@gmail.com
Wygrepowanie z wyników owego usera nie jakimś specjalnie trudnym zajęciem, stąd wcześniej określenie tej metody pozyskiwania danych jako łatwa.
Ficzery takiego rozwiązania? Personalizowanie ataku na kraje. Przykład? Wystarczy określić domenę globalną i voila:
"picasaweb.google.fr/*"
Jedynym minusem takiego rozwiązania jest atakowanie skrzynek Gmailowych, które w moim odczuciu mają całkiem sprawne filtry antyspamowe. Ale od czego jest yahoo – flickra też można wykorzystać w podobny sposób. ;-)
Mam świadomość tego, że ktoś mógł już opisywać wcześniej to, co ja tutaj. Tak więc – gdyby rzeczywiście tak było, proszę o info, to zaktualizuje wpis.
Komentarze
Eee, mnie tam nie ma. ;)
A galeria pokaźna i linkowano do niej… ;)
W wyniku dostajemy w rzeczywistości 1000 stron.
Dobrze, że mnie nie ma. Chociaż mnie to można słownikowo pojechać i czasem takie spamy randomowo dostaję. Ale że nie klikam ani nie włączam obrazków, to nie mam problemu. ;)
Jachacy: Wyjaśnij, ja widzę więcej.
w picasie mozna zmienic nazwe uzytkownika
nie musi byc taka sama jak login do gmaila
Myślę, że dalej zostanie dobrych kilka* adresów do zgarnięcia. :-)
Riddle:
Widzisz, ale masz dostęp tylko do maks. 1000 ;)
http://www.google.com/search?q=%22picasaweb.google.com/*%22&hl=en&start=980&sa=N
Jachacy:
ja mam dostęp do 801 wyników, ale jak dopisze sobie do adresu „&filter=0” to mam maxymalnie do 1000
taki szczegół – dodanie domeny chyba nic nie zmienia w wynikach jako takich. Moja picasawebAlbum jest dostępna i w globalnej domenie, i w polskiej, a i kiedyś widziałem ją z .de na końcu…
Fakt, że dostęp do profilu jest z każdą domeną, ale ona nabiera znaczenia podczas wyszukiwania, imo.
można sobie ustawić jakiś inny ten username (zrobic alias)
Można – powiedziane to było wcześniej. Ciekawi mnie jaka jest statystyka używania tego ficzera.
moze po przeczytaniu tego wpisu wiecej ludzi bedzie uzywalo aliasu zamiast loginu Gmail
A ja spamu nie dostanę, bo ta część adresu nijak ma się do mojego adresu e-mail/jid.