NFsec Logo

Google GAIA ID

09/09/2020 (2 tygodnie temu) w Pen Test Brak komentarzy.  (artykuł nr 747, ilość słów: 719)

W

raz z pojawieniem się płatnych treści wiele serwisów nie mogło pozwolić sobie na zablokowanie ruchu do nich z poziomu wyszukiwarki Google. Dlatego przepuszczało Googleboty na „specjalnych warunkach”. Przez jakiś czas do tego typu treści można było dostać się poprzez udawanie, że jesteśmy Googlebotem – ręcznie edytując ustawienia przeglądarki lub używając specjalnych wtyczek. Jak bardzo serwisy lubią się z Google mogliśmy przekonać się na przykładzie LinkedIn, który w poprzedniej wersji interfejsu pozwalał na pobieranie nawet zastrzeżonych profili z poziomu testów optymalizacji mobilnej Google.

Możesz zaakceptować lub się zgodzić
Chciałeś przyszłość mieć
Dobra, wpisuj login
To albo śmierć

Inną metodą wycieku danych za pomocą Google są dobrze znane Google Dorki. Na początku pandemii aplikacja Zoom musiała wprowadzić zabezpieczania wirtualnych spotkań m.in. za pomocą haseł – mimo to do dzisiaj nastoletnie trole mogą przeprowadzać ataki typu Zoom-bombing wpisując do wyszukiwarki:

"zoom.us.j/" -site:microsoft.com -site:jitsi.org -site:zoom.us -site:google.com \
-site:skype.com -site:bluejeans.com -site:webex.com

Samo Google lubi również indeksować swoje zasoby. Na przykład publiczne kalendarze dostępne są za pomocą kwerendy:

inurl:calendar.google.com/calendar/embed?src=

Arkusze kalkulacyjne, które mają w strukturze linków adresy e-mail zobaczymy dzięki:

site:docs.google.com inurl:spreadsheets/d/ inurl:"edit?userstoinvite"

Teraz jeśli połączymy jeden z Google Dorków razem z Programowalnym Silnikiem Wyszukiwania Google otrzymamy mini wyszukiwarkę publicznych albumów udostępnionych w ramach usługi zdjęć Google.

Nie pytam kiedy
Pytam kto pierwszy
Twoja morda
Twoje hasła lecą w sieć

Jeśli posiadamy konto w usługach Google to posiadamy również GAIA (ang. Google Accounts and ID Administration) ID. Jest to 21 cyfr zaczynających się od „10” lub „11” np. 104599921258567790975. Odpowiedzmy sobie teraz na pytanie: jak poznać czyjeś GAIA ID na podstawie adresu e-mail? Otóż odpowiedź może być zaskakująca, ponieważ wystarczy dodać kogoś do rozmowy za pomocą Hangouts (nie musimy przeprowadzać żadnej rozmowy / dodawane konto może również nie mieć uprawnień do prowadzenia rozmów przez komunikator). Mając jednocześnie uruchomione w przeglądarce narzędzia dla developerów (Firefox / Chrome) na zakładce sieciowej – po dodaniu adresu e-mail – możemy przefiltrować żądania w poszukiwaniu słowa kluczowego „lookup” (w usłudze Chat – musimy filtrować po „ListPeopleByKnownId”). W ten prosty sposób możemy poznać GAIA ID dowolnego adresu e-mail obsługiwanego przez Google.

Co nam daje poznanie kogoś GAIA ID? Jeśli przyjrzymy się dobrze odpowiedzi w formacie JSON to oprócz personId znajdziemy tam też inne interesujące klucze i wartości np.:

people.$GAIAID.photo.url: https://lh3.googleusercontent.com/a-/... – link do zdjęcia profilowego użytkownika. Jeśli użytkownik posiada ustawione zdjęcie (najczęściej posiadają to konta firmowe) możemy bez żadnej wymiany wiadomości e-mail pobrać jego zawartość.

people.$GAIAID.email.metadata.container: PROFILErodzaj konta jaki reprezentuje dany adres e-mail np. PROFILE – to normalne konto / DOMAIN_PROFILE – posiadające wyższe uprawnienia do domeny w G Suite.

people.$GAIAID.inAppReachability[ appType: MAPS, BABEL (Hangouts), YOUTUBE, PHOTOS ] – z jakimi jeszcze usługami Google konto jest połączone.

people.$GAIAID.metadata.lastUpdateTimeMicros: 1582628532000 – data ostatnich zmian na koncie w formacie EPOCH, czyli przedstawiona wartość to wtorek, 25 lutego 2020 12:02:12 GMT+01:00. Jeśli Google wprowadziło np. nowe zabezpieczenie w lipcu 2020 r. to możemy stwierdzić, że konto to jeszcze go nie aktywowało.

Oprócz powyższych danych istnieją jeszcze dwa adresy w których możemy podstawić poznane $GAIA_ID:

https://get.google.com/albumarchive/+$GAIA_ID – adres do publicznych zdjęć Google danego użytkownika.
https://www.google.com/maps/contrib/+$GAIA_ID – adres do kontrybucji Google Maps danego użytkownika.

Oczywiście już powstał automat (nie zachęcam do wpisywania swoich danych, ponieważ nie jestem w stanie określić, co dokładnie on robi za kulisami), który po rozwiązaniu CAPTCHA uwalnia nas od sniffingu ruchu sieciowego Hangouts. Dlatego jeśli chcemy przeprowadzić rekonesans jakieś firmy, która utrzymuje swoją domenę na G Siute, wystarczy pobrać listę jej pracowników z LinkedIn – zamienić Imię i Nazwisko na imię.nazwisko@firma.pl – weryfikując czy jest to poprawny adres e-mail; uzyskać na ich postawie identyfikatory $GAIA_ID i sprawdzić czy czasami nie udostępnione są jakieś publiczne zasoby.

Więcej informacji: Start caring stop sharing, Keeping a Grip on GoogleID’s, OSINT – jakie informacje o sobie można znaleźć w Internecie

Kategorie K a t e g o r i e : Pen Test

Tagi T a g i : , , , , , ,

Brak nowszych postów

Komentowanie tego wpisu jest zablokowane.