רצית לדעת האם יש פה עוד אנשים שמשתמשים endpoint של אתר כדי להשיג פרופיל של מישהו דרך מייל
https://en.gravatar.com/example@gmail.com.json
האם אתם מכירים עוד אתרים אולי שמביאים מידע רק לפי המייל או שמגיעים לפרופיל דרך המייל
יש אתרים שאפשר לחפש לפי שמות
כמו האתר פה
היי אלכס וברוך הבא לפורום. מתנצל מראש, מעט התפזרתי עם התשובה, תרגיש חופשי למקד אותי לדברים מסויימים מתוך שאמרתי.
אז ראשית אתחיל עם הפרטים שניתן לקבל מהאתר פה, שרץ על מערכת Discourse, למי שאינו יודע. בדיוק כמו בכל פורום, יש פרופיל משתמש, אז סביר להניח שמכל פורום שיש ברשת אפשר לקבל את הפרטים שהמשתמש החליט לחלוק על עצמו. פה ספציפית בפורום אין חובה לחלוק מידע כלשהו עם המערכת מעבר לכינוי ואימייל כשנרשמים (האימייל לעולם לא יהיה חשוף לעולם\מי שאינו מנהל). אם משתמשים ב-OAuth, המערכת תדלה מידע נוסף מהחשבון המקושר (שם) - אך יש אפשרות לשנות את הפרטים האלה אם אינך מעוניין שישמרו בפורום. המידע הזה זמין אך ורק למשתמשים רשומים (אך כל אחד יכול להירשם ולדלות את המידע, scraping).
אבטחת מידע:
Question: can I have a list of 10 top forums which the topic is information security?
Answer:
Certainly, here is a list of 10 reputable forums focused on information security, cybersecurity, and related topics:
InfoSec Nirvana (www.infosecnirvana.com) - A community of information security professionals discussing various aspects of cybersecurity.
Security Stack Exchange (security.stackexchange.com) - A Q&A platform where cybersecurity experts and enthusiasts ask and answer questions.
Wilders Security Forums (www.wilderssecurity.com) - Covers topics related to computer security, privacy, and discussions on security software.
Cyber Security - Reddit (www.reddit.com/r/cybersecurity) - A subreddit dedicated to cybersecurity discussions and news.
Hack Forums (hackforums.net) - While it has a reputation for discussing hacking, it also covers information security and related topics.
TechExams.net Security+ Forums (techexams.net/forums/security) - Focused on CompTIA Security+ certification and general security discussions.
Antionline (www.antionline.com) - A forum for ethical hackers and security enthusiasts to discuss cybersecurity.
BleepingComputer Forums (www.bleepingcomputer.com/forums) - Covers computer security, malware removal, and technology discussions.
Null Byte - The Ethical Hacker Network (null-byte.wonderhowto.com) - A community for ethical hackers and cybersecurity enthusiasts.
MalwareTips Forums (malwaretips.com) - Discusses malware removal, computer security, and cybersecurity news.
כלליים:
Question: can I have a list of 10 top forums in the English language
Answer:
Certainly, here is a list of 10 popular English-language forums across various topics:
Reddit (www.reddit.com) - A diverse platform with subreddits covering virtually every topic imaginable.
Stack Overflow (stackoverflow.com) - Focused on programming and development discussions.
Quora (www.quora.com) - A platform for asking questions and getting answers on a wide range of subjects.
Hacker News (news.ycombinator.com) - A community for tech enthusiasts, entrepreneurs, and developers.
Digital Spy Forums (forums.digitalspy.com) - A forum for discussing television, entertainment, and pop culture.
Bodybuilding.com Forums (forum.bodybuilding.com) - Dedicated to fitness, bodybuilding, and nutrition discussions.
City-Data Forums (www.city-data.com/forum) - Provides city-specific information and discussions on various topics.
The Student Room (www.thestudentroom.co.uk) - A forum for students in the UK, covering education-related topics.
Warrior Forum (www.warriorforum.com) - Focused on internet marketing, SEO, and online business discussions.
CNET Forums (www.cnetforums.com) - Covers technology, gadgets, and consumer electronics.
רשתות חברתיות כגון Facebook, Youtube, Twitter, Instagram, Linkedin ועוד. פייסבוק ולינקדין מאפשרות חיפוש על-בסיס שמות אמיתיים, כינויים, אימיילים ומספרי טלפון (המשתמש יכול לחסום את החיפוש על בסיס השניים האחרונים). אינסטגרם, טוויטר ויוטיוב, אפשר לחפש על בסיס כינויים.
קצת חורג מהשאלה, אבל רק אציין שבטלגרם אפשר לחפש על בסיס כינויים, בווטסאפ אפשר למשוך את הפרופיל על-בסיס מספר טלפון. אזכיר גם איך זה נוצל לרעה בהפגנות שהיו בהונג-קונג 2019. כמובן שהמשתמש יכול לצמצם את החשיפה שלו על-ידי הגדרות שונות בצד שלו.
אז Gravatr (globally recognized avatar) הוא אחד מאותם מסדים, ניתן לחפש בו על בסיס כינויים ואימיילים, התוצאה שתתקבל תהיה דיי עשירה (תמונה, שם, אתרים ועוד), למעשה כל מה שהמשתמש החליט לחלוק לגביו.
מרישום דומיינים ניתן לאסוף אימיילים, שמות, מספרי טלפון ואף כתובות. עם הכניסה של GDPR המידע הזה לרוב לא ניתן לצפיה, ויש גם רישומי פרוקסי שיכולים להסתיר זאת. בעוד שבעזרת תשאול whois אפשר לקבל מידע נוכחי, DomainTools היו בין האתרים המובילים לאיסוף מידע היסטורי שאומר שאם הדומיין אי פעם היה רשום ללא מיסוך, או לפני כניסת GDPR, סיכוי טוב שיש להם את הרישום הזה.
TrueCaller מאפשרת לקבל את השם על בסיס מספרי טלפון (כפי שנרשם אצל משתמשי TrueCaller אחרים).
זה כבר נחשב לתחום שחור (Blackhat), אך אזכיר אותו בגלל שהוא חשוב להכיר, והוא יכול לשמש לאיסוף מידע (מישהו אחר כבר עשה את העבודה). Doxbin היה שירות שבו אנשים ביקשו או פרסמו doxxing שביצעו. פעילות זו הינה עבירה על החוק! בעוד שאיסוף המידע ממקורות גלויים וחוקיים מותר, פרסום של המידע הזה ברבים הינו עבירה. כמובן שבמקרה הזה יופיע מידע עשיר, אך הוא נתון בספק עד כמה מדוייק ואיכותי.
גם נחשב לתחום שחור, אך שוב בחרתי להזכיר זאת בעקבות החשיבות שלו לפעילות של איסוף מידע. במקרה הזה ניתן למצוא מידע עשיר שסופק על-ידי השמתמש עצמו, אז כנראה שמדוייק אם המשתמש בחר לחלוק אם השירות ממנו דלף המידע, כנראה שיהיה מדובר במידע אמיתי. רק קח בחשבון, שהחזקה של המסדי נתונים הללו (שדלפו) אינו חוקי.
היום יותר ויותר קשה למצוא מידע שמוגדר PII בעקבות GDPR והקשחה של שירותים שונים מ-Scraping. מנועי החיפוש, מנועי שפה וכיוצ"ב פועלים באופן אקטיבי למנוע חיפוש ואיסוף של מידע שנחשב ל-PII.
ניתן לאסוף מידע ממקורות רבים ומגוונים באינטרנט, מה שמוגדר OSINT, פורומים (על בסיס כינויים), רשתות חברתיות (על בסיס מספרי טלפון, אימיילים וכינויים), אפליקציות ומסדי נתונים פומביים (על בסיס מספרי טלפון), ואף מאזורים פחות עד לא חוקיים כמו Doxbin ודליפות מידע.
אני באופן אישי אוהב להשתמש ב-Meltego לאיסוף והצגה של המידע הרלוונטי לאיסוף שלי, מוכרח להודות שלא מצאתי כלי שמקיף את כל ווקטורי החיפוש, ותמיד יש פעולות שעשיתי באופן ידני ורק הצגתי באופן גרפי (וגם עם זאת היו קשיים). כנראה שלבנות כלי שמשרת אותך באופן הטוב ביותר זו האלטרנטיבה היחידה.