Business Ethics & Corporate Crime Research Universidade de São Paulo
FacebookTwitterGoogle PlusYoutube

Aprovechando los “tags ocultos” de Facebook para OSINT

Arroyo Brian - Investigador Digital

Author: Braian Arroyo

Link in original: Click here

El día 03 de julio de 2019 por más de 11 horas fuimos testigos de la caída masiva de las redes sociales y servidores como Facebook, Instagram, Whatsapp, Outlook, entre otros alrededor del mundo. Dicha falla afecto alrededor de 1.52 millones de usuarios diarios. Entre las fallas principales tenemos como ejemplo en Instagram que no se podía compartir fotos, actualizar los feeds y envíos de mensajes, mientras que en WhatsApp solo se podía recibir y enviar mensajes en formato texto, no teniendo la capacidad de descargar multimedia como imágenes o audios.

No hay texto alternativo para esta imagen

Paginas como https://outage.report permitía ver en tiempo real con mapas de calor las zonas mas afectadas por la caída de las redes sociales en base a reportes.

El detalle curioso que me llamó la atención fue ver, mientras realizaba una investigación de qué manera afectó esta caída a Facebook, ya que dejo expuesto su sistema de etiquetado “oculto o interno” asignado en las fotos que subimos por medio de su aprendizaje automático (IA), clasificando el contenido de las mismas por medio de “tags”, por lo que se determina que se asignan independientemente de si como usuarios agregamos o no una descripción.

Veamos un ejemplo de esto:

No hay texto alternativo para esta imagen
No hay texto alternativo para esta imagen

Como se observa en cada foto aparecen etiquetas como la imagen pueden contener“una persona”, “sonriendo”, “sentada”, “primer plano”, etc.

Es por ello qué como investigador decidí preguntarme ¿cómo podríamos aprovechar estos tags en el mundo de OSINT?

Así que puse manos a la obra a realizar pruebas al menos para obtener algo básico y aportarlo a la comunidad de osinteros y apasionados por la ciberinteligencia, que con más conocimientos técnicos podrán explotarlos y aplicarlos para mejorar búsquedas.

Usando operadores básicos de Google hacking a prueba y error buscándole la vuelta, logre generar búsquedas en Facebook e Instagram aprovechándome de este “descuido” como se ve en los ejemplos para los cuales tome a mi amigo Emiliano Zarate para stalkearlo.

Las etiquetas usadas son:

–      site:facebook.com “emiliano zarate” La imagen puede contener: personas sonriendo – a través de esta tag pude encontrar en la página 3 de Google fotos en donde Emiliano esta etiquetado y aparece junto a otras personas sonriendo.

No hay texto alternativo para esta imagen
No hay texto alternativo para esta imagen
No hay texto alternativo para esta imagen

–  site:facebook.com “emiliano zarate” Image may contain: 1 person – con esta etiqueta más básica pude localizar el perfil en la primera página.

No hay texto alternativo para esta imagen
No hay texto alternativo para esta imagen

–      site:instagram.com emiliano zarate Image may contain: people sitting – de la misma manera que podemos hacerlo con Facebook también se puede con Instagram, ya que trabajan con el mismo sistema de asignación automáticas de etiquetas, en este caso le pedí a Google que me busque “personas sentadas, dentro del sitio de Instagram, donde pudiera estar un Emiliano Zarate”.

No hay texto alternativo para esta imagen
No hay texto alternativo para esta imagen

Como se observó genere búsquedas básicas, haciendo uso de los dorks de Google, pudiendo utilizar para esto, etiquetas en español o inglés, y también siendo posible a través del operador tags:xxx.

Dejo esto abierto a la comunidad para que lo exploten y puedan generar nuevos tipos de búsquedas de OSINT.