Viacheslav Novakovskyi 13 сентября 2021

🕵 TikTok OSINT или 5 простых способов провести интернет-разведку по открытым источникам

Tiktok пользуется огромной популярностью, но люди часто публикуют в социальной сети приватную информацию, вроде номеров телефонов или банковских карт. Извлечь ее из открытых источников несложно, к тому же – совершенно легально.
🕵 TikTok OSINT или 5 простых способов провести интернет-разведку по открытым источникам

1. Поиск профиля

Перед нами задача: найти профиль пользователя только с помощью поискового сервиса. Для ее решения пойдем на Google, поскольку в нем уже предусмотрены дорки – специально сформированные запросы.

В случае, если мы знаем полное имя и предполагаемый никнейм пользователя, можно использовать следующую комбинацию:

        site:tiktok.com "@terrycrews" OR "Terry Crews"
    
  • Оператор site: указывает, что искать нужно на конкретном ресурсе.
  • Логический оператор OR говорит о том, что искать можно либо ник, либо имя, причем в выдаче необязательно должны присутствовать оба значения.

Теперь то же самое, но на других сайтах с упоминанием tiktok

        "username" OR "first and last name" "tiktok.com" -site:tiktok.com
    
  • Оператор -site: исключает из поиска то, что в него помещают.

Есть еще ряд возможностей, например, поиск упоминаний профиля на других платформах.

        site:youtube.com OR site:instagram.com "username" OR "first and last name" "tiktok" "tik tok" OR intext:"tiktok.com/@username"
    
  • Оператор OR здесь опционален.

Поиск упоминаний в содержании видео.

        site:tiktok.com intext:@username -intitle:"username" inurl:video
    

2. Работа с описанием видео

Чтобы разобраться с комментариями к ролику, будем использовать DevTools. Делается это нажатием правой кнопки мыши на видео и выбором Inspect в меню, либо сочетанием клавиш Ctrl+Shift+U. Откроется окно, где нужно будет выбрать вкладку Network (нужный нам параметр list id).

Смотрим вкладку Response и копируем все ее содержимое.

Этот текст является объектом JSON, но не отформатированным. Исправить ситуацию можно с помощью инструментов семейства json formatter (легко гуглится), либо использовав Cyber Chef.

Во вкладке Operations выбираем JSON Beautify, далее нужно вставить скопированный текст в Input, и в Output появятся отформатированные данные, где можно узнать user id, nickname, name и comment пользователя.

<i><span> Дополнение Cyberchef</span></i>
Дополнение Cyberchef

Помимо этого есть возможность извлечь метку времени, правда в UNIX-формате. Чтобы это исправить, в Operations переходим на Data format → From Unix timestamp и проделываем аналогичные операции. Результат – дата и время в формате UTC.

3. Изучение фото профиля

Большое фото профиля может понадобиться не только чтобы потешить эго возможностью его извлечь, а для обратного поиска по картинке в Google либо Yandex. Результат будет полнее, поэтому приступаем.

Нужно нажать Ctrl+Shift+U либо правую кнопку мыши на изображении и Inspect откроет инструменты разработчика в вкладке Elements. Наводим курсор и кликаем по изображению.

Будет отмечен следующий блок кода:

        <div class="_user_header_cover" style="background-image:url(https://p16.muscdn.com/img/musically-maliva-obj/1647764540602374~c5_720x720.jpeg)"></div>
    

Нам нужна ссылка с префиксом https на .jpeg: она ведет на полноценное фото.

<i><span> Результат поиска фото</span></i>
Результат поиска фото

4. Получение информации о подписчиках и подписках

Самый простой способ извлечь количество подписчиков – с помощью https://vidnice.com/

<i><span> Сервис Vidnice</span></i>
Сервис Vidnice

Для установления предпочтений человека более информативными будут подписки.

5. Извлечение контента

Теперь о самом интересном – конфиденциальных данных, например, о номере телефона и адресе электронной почты, которые люди оставляют намеренно, чтобы пообщаться.
<i><span> Результат поиска по "#phoneme"</span></i>
Результат поиска по "#phoneme"


Ключевые фразы для поиска: #callme,#findmynumber, #creditcard, #debitcard, #gmail.com, #emailme.

Disclaimer
С большей силой, приходит большая ответственность, не используйте знания во вред.
<i><span> Результат поиска по "#emailme"</span></i>
Результат поиска по "#emailme"
<i><span> Результат поиска по "#findmynumber"</span></i>
Результат поиска по "#findmynumber"
***
Ключевые слова для поиска всегда можно скорректировать под конкретные цели и задачи.Теперь вы знаете, как извлекать необходимый контент из профилей TikTok и представлять его в удобном виде. По мере разработки приложения и выхода новых технологий, в объектах JSON можно будет обнаружить дополнительные сведения. Удачи и не используйте знания во вред. Помните об уголовной ответственности за преступления в сфере высоких технологий.

Источники

МЕРОПРИЯТИЯ

Комментарии

ВАКАНСИИ

Добавить вакансию
Java Team Lead
Москва, по итогам собеседования
Разработчик С#
от 200000 RUB до 400000 RUB

ЛУЧШИЕ СТАТЬИ ПО ТЕМЕ