FaceBook + WhatsApp = LOVE (Totale Post Privacy)

Ich habe mich desletzt mehr oder weniger intensiv mit ein paar Themen beschäftigt, darunter war auch die Post Privacy von Diensten wie WhatsApp und FaceBook.

Darüber möchte ich euch heute etwas erzählen, den mir ist, dank der Hilfe eines sehr fähigen Menschens, etwas sehr überraschendes aufgefallen, wie man mit ein wenig Fachwissen eine beliebige Person total überwachen kann.

Zuallererst möchte ich sagen, dass ich mit diesem Beitrag niemandem schaden möchte.

Ich möchte auch niemanden helfen, illegales zu tun, oder andere zu überwachen.

Ledigilich möchte ich aufzeigen, wie unsicher viele Menschen mit ihren Daten umgehen.

Einige kennen vielleicht die PC Variante des beliebten WhatsApp Messengers, Yowsup. (Installation und Konfiguration wird hier nicht beschrieben)

Dank Diensten wie receive-sms-online kann man sich sogar komplett anonym bei WhatsApp registrieren.

Dieses Projekt besitzt erstaunliche Möglichkeiten! Mit ein wenig Know-How kann man sich eine Funktion bauen, die alle Nummern nacheinander abprüft, wenn eine Nummer bei WhatsApp ist, wird das Profilbild heruntergeladen und nach $NUMMER.jpg umbenannt. (Vorrausgesetzt: Es ist ein Profilbild gesetzt und die Datenschutz Einstellungen erlauben es, welche es allerdings standardmäßig erlauben!).

Ich habe das mal beispielsweise ausgetestet und ungefähr 50 000 Bilder heruntergeladen. Eine symbolische Menge, ich hatte einfach keine Lust, noch mehr zu laden, was durchaus möglich ist.

Aber hier ist noch lange nicht Schluss! Keine Angst, man kann mit diesen erbeuteten Nummern nämlich noch mehr Spaß haben. Im Verzeichnis src/Examples kann man mit ein wenig Veränderungen an der Datei CmdClient.py ein Programm entwerfen, dass den Online Status aller Nummer erfasst und in eine Datenbank schreibt. Das alle 5 Minuten und die restliche, hier noch verbliebene Privacy ist weg.

Wer dreist ist, kann sich mit der dynamischen Websprache seines Vertrauens noch einen Webspace anmieten und die, sich regelmäßig aktualisierende Datenbank, bereitsstellen.

Wer denkt, es gäbe noch mehr, gewinnt einen Keks!

Denn wie oben erwähnt, habe ich mich auch mit FaceBook beschäftigt! Einige von euch wissen vielleicht, dass man dort seine Einstellungen lieber vorsichtig setzen sollte, und niemals auf dem Standard lassen sollte. (Standard = Keine Privacy)

Doch viele der FaceBook Nutzer haben auch WhatsApp, und viele davon haben auch den FaceBook Messenger. Vorallem seitdem der Messenger aus FaceBook abgekoppelt wurde. Link

Vielleicht ist dem ein oder anderen ja auch aufgefallen, dass der Messenger gerne eure Handynummer haben will! (Überspringen Button ist unten versteckt)

Dies hat den Grund, dass FaceBook gerne alle Handynummern seiner Nutzer hätte. Deshalb auch die Trennung von der FaceBook App.

Jeder, der dort seine Nummer eingetragen hat, hat damit seine, eh schon durch WhatsApp verlorene, Privacy verloren.

Jetzt kommt der Schlussteil. Mit der aus dem WhatsApp Spaß geladenen Nummern kann man sich ein weiteres, tolles Skript bauen, eins das versucht, sich bei FaceBook mit der Nummern einzuloggen. Denn sollte man dort das falsche Passwort angeben, bekommt man nach dem 10. Versuch angezeigt:

Bist du nicht Name Nachname?// Du hast versucht, dich als folgende Person anzumelden: 

facebook-anmeldung

Mit Bild sogar, allerdings mit dem Parameter: size=squared, welcher das Bild minimiert. Regex eingebaut und den entsprechenden Teil gefiltert bekommt man die Bilder in Original Auflösung (Yeah!). Allerdings hat FaceBook noch eine tolle Funktion.

https://www.facebook.com/login/identify?ctx=login , dazu da mit persönlichen Angaben einen Account zu finden. Viel leichter zu automatisieren als die Login Seite *gnihihi*. Allerdings muss man hier beim ersten Versuch ein Captcha lösen, danach bekommt man einen Cookie. Einzeiler!

(Genaue Methode hier nicht genannt um Missbrauch zu vermeiden!)

curl -form name=content –cokie name=data

Den Output davon mit zum Beispiel BeautifulSoup parsen, fertig!

Schlussendlich habe ich eine Datenbank von 50 000 Nummern, mit einer Datenbank die mir sagt wann sie in der letzten Zeit online war (wird alle 5 Minuten geprüft), und durch FaceBook konnte ich der ersten Datenbank Namen, neue Bilder und alle öffentlichen FaceBook Details hinzufügen!

Würde ich das weiter treiben, hätte ich nach ein paar Wochen alle deutschen Nummer (wahlweise auch Ausland), dazu massenhaft hochauflösende Bilder, Informationen zu Wohnort, Geburtstag, Lieblings-*, Freunden und Namen. So eine kleine Deutschlandkarte zu generieren wäre da wirklich süß. Mal sehen, wer hier so mit wem befreundet ist, was die für Handy Anbieter haben, auf WhatsApp für einen Status haben. wann sie online sind.

Meine Empfehlung ist ja, den Datenschutz auf WhatsApp und FaceBook standardmäßig sehr hoch einzustellen, und Optionen wie „Darf jeder sehen“, zu entfernen.

Ich verabschiede mich hier mit einem PPP – Pretty Post Privacy

Nähere Infos und Materialien unter irc://irc.hackint.org/lupia

Advertisements