Bezár a Google Plus – miután alaposan lecsapolták

google-plus-megszunik.jpgHa már a mostani az információbiztonság hónapja, jött a hír, hogy a Google bezárja közösségi webes szolgáltatását, ami igazából csak néhány napig volt sikeres: amikor bejelentették, hogy elindítják, a felhasználók pedig vetélkedtek, hogy kinél lesz korábban elérhető.

A Wall Street Journal egy névtelen forrásra hivatkozva írta meg, hogy 2015-től kezdődően 2018. márciusáig az API-n keresztül olyan információk voltak elérhetők a felhasználókkal kapcsolatban, amiknek az elérését kimondottan korlátozták. A Google nem cáfolta a hírt, hivatalos blogbejegyzésben részletezték, hogy a leak akár félmillió felhasználót is érinthetett, de ahogy az ilyenkor lenni szokott, gyorsan hozzátették, hogy nincs bizonyíték azzal kapcsolatban, hogy valaki ténylegesen csapolta is voltna az adatokat, ami minden ilyen esetben minimum életszerűtlen.

Itt megjegyezzük, hogy egy ujjal sem kellett az API-hoz nyúlni, enélkül is eszelős mennyiségű információt csorgatott ki a felhasználóiról a Google Plus, hacsak azok nem lőtték le a teljes szolgáltatást vagy nem baktattak végig a mezei júzernek szokatlanul bonyolult, ráadásul rendszeresen változó privacy checkupon – nem keverendő a security checkuppal annak beállításait ugyanis átlagos felkészültségű felhasználónak esélye sem volt egészében megérteni, csak egy kis részlet illusztrációként:

google-plus-privacy-1

google-plus-privacy-checkup.png

Egy nagyon egyszerű, konkrét példa: nagyon sokáig ha a Google Contacts szolgáltatásában egy üres bejegyzést hoztunk létre, amibe beírtunk egy mobilszámot vagy email címet, amikről esetleg nem tudtuk, hogy kié, a Google volt olyan kedves és megmutatta az érintett felhasználó Google Plus profilját, mint kényelmi funkció. Ha valaki nem figyelt rá, hogy kik láthatják vagy akár scrapelhetik le, hogy milyen tartalmaknál nyomott a +1-re, nyilván sokkal több információt árult el magáról ezzel, mint amennyit tudatosan megosztott volna a világgal. Ezek a kényelmi feature-ök, amik sokkal inkább voltak bugok, csak még átláthatatlanabbak és persze még inkább kihasználhatóak voltak azzal, hogy a Google a saját szolgáltatásaiban eredetileg külön-külön kezelt információkat elkezdte aggregáltan kezelni. A felvázolt alaptrükk lényege egyébként az AOL-ban, Yahoo-ban teljesen hasonlóan működött.

A hivatalos blogbejegyzés szokásosan diplomatikusra sikerült, annyi viszont egyértelműen kiderül, hogy komoly a baj, amit még akkor is fel lehet fújni, ha alig használ valaki Google Plus-t. A lényeg röviden, hogy a mezei Google-felhasználók számára a szolgáltatást kivezetik, míg a G Suite, azaz a Google vállalati verziójában meghagyják, még ha ilyen módon jórészt értelmetlen is marad az egész.

Nincs új a nap alatt, tényleg nincs. Egy közösségi szolgáltatásban hiába van piktogramként kis lakat, emberke, karikácska, földgömböcske, így vagy úgy, csak az az információ nem férhető hozzá, amit a felhasználó meg sem adott, ami átvezet egy eléggé aggasztó kérdéskörhöz. Több Google-szolgáltatás csak akkor használható, miután bizonyos adatokat, mint amilyen a születési dátumunk, megadjuk, ezen kívül egy androidos eszköz aztán mindent visz, amit lát az eszköz felhasználójával kapcsolatban. Lehet ugyan, hogy rákérdez, hogy a megadott adatok milyen körben legyenek elérhetőek, ahogy ez lenni szokott az antivirus termékek figyelmeztetéseinél is, a felhasználói magatartásban ősi reflex, hogy minél előbb eltüntesse a felugró figyelmeztető ablakot vagy notify-t, ami ellen ugye nincs védelem. Világos, hogy a születési dátum olyan adat, amire szükség lehet, ha valaki a hirdetési rendszert használná, vásárolna vagy korhatáros videókat nézne, ezek megadása indokolt. Viszont később a Plus kérte a felhasználót, hogy menjen végig a privacy checkupon, az eszes felhasználó pedig, hogy minél gyorsabban végezzen a folyamattal, mindennél jóváhagyta az alapértelmezett vagy ajánlott beállítást, így például azt, hogy a születési dátumot láthassa egy ésszerűtlenül széles kör, például aki felveszi a saját körébe, hasonlóan nem korlázozta a felhasználó azt sem, hogy valaki a mobilszáma alapján találjon rá, amit eredetileg korábban éppen biztonsági célból adott meg. A checkupot pedig a felhasználó alighanem 10 perccel később már el is felejtette.

Számtalan áthallást vehetünk észre a Facebook adatkezelési gyakorlatával kapcsolatban: egyik személyes kedvencként emelnénk ki, hogy nagyon sokáig az volt az alapértelmezett beállítás a Facebookon, hogy az email cím valamint a mobilszám pontos megadásával lehessen felhasználót megcímezni, üzenetet küldeni neki. Extra finomság, hogy ehhez nem kellett ténylegesen üzenetet küldeni, csak az új üzenet küldésekor valamelyik adatot be kellett dobni a címzett mezőbe és a rendszer kedvesen feldobta a hozzá tartozó felhasználót képpel és névvel. Mindezt a beállítások közt a “Who can look you up using the email address you provided?” és a “Who can look you up using the phone number you provided?” alapértelmezett Everyone beállítása tette lehetővé korábban. Megjegyzendő, ha valaki a mobilja címjegyzékével vagy más szolgáltatással szinkronizálta, mergelte a szolgáltatásban lévő kontaktjait, ott ugyancsak megjelenhetett a mit sem sejtő felhasználó, ráadásul már kiegészített adatokkal!

facebook-who-can-contact-you

Ami a Google Plus-t illeti, már eleve a beállítások, – amik tehát nem keverendők a Google Account beállításaival – olyan idétlenül el lettek rejtve, hogy azt megtalálni is kisebb bravúr a teljes checkupon pedig itt lehet végigbaktatni, miután valaki megtalálta a Plus oldalán a lehetőséget.

Többen gondolhatják úgy, hogy az egyetlen értelmes beállítás az összes közül a
“Send me occasional reminders about these settings” checkbox.

Az átlag felhasználó részéről a zsigeri reakció lehet ezt olvasva, hogy minél több információt irtson ki a Google szolgáltatásaiból, ami látszólag paradox módon, messze nem a legjobb ötlet több szempontból. A Google bizonyos szolgáltatásai megkerülhetetlenek, aki mondjuk levelezésre is használja, igencsak nagy mennyiségű információ koncentrálódik egy-egy fiókban, ha pedig a fiók hozzáférhetetlenné válik, a Google gépi account recoveryje sokkal kevesebb adat alapján lesz képes ismét hozzáférést adni egy olyan fiókhoz, aminek a jelszavát például megváltoztatta a támadó. Másrészt időszerű lenne már elfogadni azt a tényt, hogy bárki bármit is mond, csak az az adat nem kapcsolható egy felhasználóhoz, ha azt az adatot sosem adta meg konkrétan senkinek. Ennek az abszurditását nagyon jól példázza, hogy ha valakinek megadod a mobilszámod, nem mondhatod neki, hogy papírcetlin sziveskedjen tárolni, mert az androidos mobil küldi fel a ködbe’ a mobil telefonkönyvébe írt más adattal, például email címmel együtt. Azaz megmosolyogtató szélmalomharc, amikor valaki ráadásul utólag nekifut törölni a hozzá kapcsolódó adatokat egy szolgáltatásból, hogy aztán lehintse sóval, mivel ha csak néhány ismerőse van, aki felvette kontaktnak, a LinkedIN, XING, Facebook és a többi alapértelmezés szerint szinkronizálják a kontaktadatokat, ahogy az is alapértelmezés több helyen, hogy mindenki konktaktlistába kerül, akinek valaha is levelet küldtünk vagy más küldött nekünk.

Röviden: lehet használni butamobilt is, ha nem egy őserdőbeli kunyhóban lakik valaki, több-kevesebb adata úgyis ott lebeg a fellegek közt.

ínyenceknek ajánlott a MIT Press egyik sorozatában megjelent Metadata című könyv Jeffrey Pomerantztól, ami szintén megmagyarázza, hogy miért található meg akár valahol a neten egy képen több-kevesebb energiabefektetéssel még nyílt forrásból is olyan, aki egyébként soha nem csinál képeket, ha például valahova elutazik.

metadata-mit-press

Az új világ sokak számára egyszerűen érdektelen, megint mások komolyan úgy gondolják, hogy teljes egészében az ő kezükben van a kontroll a saját adataik fölött, valamint egy töredék rész tisztában van vele, hogy akár tetszik, akár nem, a hagyományos értelembe vett magánszféra teljesen átalakul, ugyan nem világos, hogy milyen módon, de az igen, hogy emiatt aggódni vagy küzdeni ellene értelmetlen vagy az információk megvédése irreális erőbefektetést, ésszerűtlen paranoid titkolózást követel meg.

Visszatérve az eredeti hírhez, nagyon sokszor még csak API-trükközést sem igényel, hogy kivájjon valaki valamit, az szolgáltatásplatform fejlesztőinek a felelőssége, hogy csökkentsék az észrevétlen adatszivárgást akár API-n keresztül, akár prosztóbb módszerekkel, ami nyilván azzal a kompromisszummal jár, hogy az alkalmazásfejlesztőknek sokkal kisebb lesz a mozgástere. És a jó öreg gazdasági oldal? Igen, igen: a túlságosan throttle-olt API-n értelemszerűen kevésbé vagy nehézkesebben lehet bármit is varázsolnia a fejlesztőnek, ilyen módon az API-t nyújtó szolgáltatás versenyhátrányba kerülhet konkurrenst szolgáltatásokhoz képest.

Ami a Google Plus-t illeti, maholnap béke poraira, csak egyetlen példa volt arra, hogy egy olyan szolgáltatás, amit gyakorlatilag nem is használnak, de jelentős felhasználói bázissal működött, mekkora kavart okozhat, egy Google-szolgáltatás ide vagy oda, eléggé megszokott, egy-egy óriásszolgáltatás kivezetése, ahogy arról korábban is írtunk már.

képek: boingboing

GDPR az információszabadság ellen: hogyan könnyíti a bűnözők dolgát és nehezíti a nyomozókét és kutatókét?

Kezdjünk egy beugrószintű OSINT-kérdéssel: miért lehetetlen titokban tartani ma egy mobilszámot?

imagesMég sok-sok évvel ezelőtt a személyes mobilszám, ha úgy tetszik, kimondottan érzékeny adat volt, amit igen kevesen tettek ki akár az életrajzi oldalukra, vagy adtak meg olyannak, akit nem ismertek valamennyire személyesen. Mi több, egy személyhez tartozó privát mobilszámot akár kimondottan nehéz is lehetett megtudni.

Emlékezetes az az eset, amikor egy válófélben lévő fiatal hölgy a büntetett előéletű férjétől szabályosan menekült, megpróbálta titokban tartani a hollétét és az elérhetőségét, de ahányszor lecserélte a mobilszámát, a férj annyiszor néhány napon belül megszerezte az új számot anélkül, hogy egyáltalán számítógép elé kellett volna ülnie. Pedig a hívószám nem szerepelt tudakozóban, telefonkönyvben, nem volt felregisztrálva semmilyen VoIP-alkalmazáshoz és közösségi webes felületen sem.

Ilyenkor a laikusok rendszerint valamilyen bennfentes szolgáltatói kapcsolatra gondolnak, ám már réges régen, ha egy mobilszolgáltató alkalmazottja vagy annak valamelyik partnere, például egy viszonteladói pont alkalmazottja lekérdezi egy ügyfél adatait (már ha egyáltalán tudja csak személyes adatok alapján), egyrészt naplózásra kerül, másrészt ha kiderült, az alkalmazottat jó eséllyel ki is rúgják.

Röviden szólva régen sem volt, és most sem életszerű egy olyan scenario, hogy “le tudom kérdezni bárkinek a mobilszámát, mert van ismerősöm a szolgáltatónál”. Viszont ekkor az előbb emlegetett büntetett előéletű, igencsak ragaszkodó férj, aki böngészőt is alig látott, hogyan jutott hozzá mégis a mobilszámhoz néhány nappal az után, hogy használatba vette a feleség?

Megfelelő mindsettel nem volt annyira nehéz rájönni: a pasas valamilyen kamu ürüggyel felhívta a feleség válóperes ügyvédjét, esetleg a saját ügyvédje hívta fel a feleség ügyvédjét, majd egyszerűen elkérte a mobilszámot, mint a kapcsolattartáshoz elengedhetetlenül szükséges információt (természetesen nem elengedhetetlenül szükséges). Az ügyvéd pedig szépen mindig kiadta az új számot.

A módszert igazából nem nevezhetjük social engineeringnek, ahogy utaltunk rá, az elkövető alighanem böngészőt sem nagyon látott életében. Nem mennénk el olyan irányba, hogy az ilyen típusú trükközés amellett, hogy ijesztően hatékony, annak ellenére, hogy bűncselekmény, utána lehet nézni, hogy milyen nevetségesen kis súllyal bünteti a törvény.

És akkor a jelen…

Annak a valós életben való kockázata, hogy egy eltökélt, gátlástalan bűnöző a lehetséges következményekkel egyáltalán nem foglalkozva vagy azokat nem is ismerve szerezze meg más számát ilyen módon, meglehetősen kicsi, de ez csak azért van így, mert tényleg gátlástalan bűnözőből kevés van.

Természetesen nem akarunk tippeket adni, de ha valaki nagyon szeretné megszerezni más új mobilszámát, ezért például valamilyen alibivel, felkészülten rátelefonál egy közös ismerősükre vagy az érintett kollégájára és a social engineeringben jól ismert pszichológiai triggerekre rájátszva elkéri a mobilszámot, akit kérdez, szinte biztos, hogy ki is fogja adni a számot. Viszont ekkor alighanem a Tiltott adatszerzés és az információs rendszer elleni bűncselekmények valamelyike megvalósul. Azt korábban már fejtegettük, hogy miért ne nagyon játsszon senki nyomozósdit, mert ha tényleges jogkövetkezménye nem is lesz, morálisan nyilván elfogadhatatlan, már eleve azért is, mert valakit súlyosan meg kell téveszteni.

Most mi nem stalkerekkel foglalkozunk, hanem a továbbiakban szorítkozzunk a felvezetésben említett témára, olyan módon pontosítva, hogy hogyan szerezhető meg egy mobilszám bármiféle manipuláció nélkül, azaz teljes egészében a passive reconnaissance módszereire támaszkodva. Itt fontos megjegyezni, hogy nyílt forrású információszerzésen keresztül más mobilszámához eljutni vagy épp egy mobilszámon keresztül azonosítani annak használóját, nem sért törvényt, viszont azt felhasználni már nagyon könnyen az lehet.

Némi magyarázó értelmezéssel: attól, hogy van egy mobilszámod, ami nincs kint valamilyen nyilvános, triviálisan kereshető felületen, még nem hívhatod fel például üzleti céllal, egyszerűen mert nem a tulajdonosa adta meg.

A NetAcademia beugró szintű nyílt forrású információszerzés kurzusán be szoktunk mutatni néhány ún. reverse lookup szolgáltatás, azaz olyat, ami a számhoz tartozó nevet adja vissza. Ezek közül mindössze kettőnél, amit ki szoktunk emelni, ha magyar mobilszámra keresünk, durván 10 keresésből 8 esetben ad vissza valid találatot, olyan számokra, amik nem szerepelnek a tudakozóban, sem a weben, sem máshol. Ráadásul ingyenes keresőeszközökről van szó. Könnyen belátható, hogy ha mindössze kettő mögött ennyi adat van, akkor több forrást használva gyakorlatilag az összes mobilszám kereshető (esetleg nehezebben).

Mégis hogyan fordulhat elő ilyesmi olyan személyek esetén is, akik esetleg kimondottan szemérmesek a mobilszámukkal kapcsolatban? El is érkeztünk a lényeghez, hogy miért nem lehet, és nem is érdemes senkinek törnie rajta magát, hogy megtalálhatatlan legyen, de előtte szükségszerű egy rövid magyarázat.

Az USA-ban a telefonos spam már évek óta olyan komoly problémát jelentett, hogy egymással vetélkedtek a különböző szolgáltatók, hogyan járjanak az előfizetők kedvében az ilyen hívások számának leszorításában. Mobilalkalmazásokat adtak ki, amivel a felhasználó beállíthatta, hogy az automatizált hívásokat és a telemarketing megkereséseket szűrje ki az alkalmazás, emellett természetesen ne nagyon fordulhasson elő olyan, hogy egy legitim hívást is megfogjon az alkalmazás.

Mi kell ahhoz, hogy egy ilyen szolgáltatás megfelelő módon működjön, azaz jó spamfilterhez illő módon, ami kéretlen hívás, hatékonyan ismerje fel és szűrje ki, és ne fordulhasson elő falspozitív találat? Sok-sok adat, aminek az adattárházát valahogy költséghatékonyan fel kell építeni. Ez pedig a gyakorlatban mindnél szinte ugyanúgy működik.

Amikor a felhasználó telepít egy hívásszűrő alkalmazást, az alkalmazás ingyenes ugyan, de amikor a felhasználó elkezdi használni azt, az applikáció (jobban vagy kevésbé) felhívja a figyelmet, hogy a pontosság növeléséhez szükség van az alkalmazást telepítő felhasználó nevére és telefonszámára, ezen kívül a mobil telefonkönyvében lévő összes (!!) név és szám kiolvasására. Amit persze az app feltölt a szolgáltatás saját adattárházába. A felhasználó pedig miért ne kattintana, máshogy nem is tudná használni a szolgáltatást.

Aztán a júzer dönthet úgy, hogy fehérlistás megoldást választ és csak olyanok hívásait fogadja, akiknek a száma a telefonkönyvében el van mentve. Esetleg megengedőbb, ez már részletkérdés. Mindenesetre a hívásblokkolónak nyilván tudnia kell, hogy mik a biztosan fehérlistás és feketelistás számok annyi adatból, amennyi rendelkezésére áll. A szolgáltatás saját címtára pedig folyamatosan szinkronizál a telefon címtárával.

Vegyünk észre néhány igencsak fanyar sajátosságot!

Az egyik, hogy ha például én titokban akarom tartani a telefonszámomat, tehetetlen vagyok, mert nyilván vannak közelebbi és távolabbi ismerőseim, ügyfeleim, kollégáim,  akik közül mondjuk, hogy mindössze kettőszázan mentették el a számom. Közülük ha csak egyvalaki telepített valamilyen alkalmazást, ami ilyen hívásszűrő feladatot lát el, a felhasználó többi kontaktja mellett már repült is fel a nevem és a számom az adott szolgáltatás adatbázisába anélkül, hogy tudnék róla. Az átlagfelhasználónak ráadásul a kézileg beírt bejegyzésekből is jóval több, mint kettőszáz van.

Itt pedig jön az, ami a saját mobilszámukra szemérmes felhasználók rémálma: alapértelmezés szerint a Facebook, a sokkal személytelenebb LinkedIN és még sok-sok szolgáltatás felajánlja, hogy kedvesen szinkronizálja az ottani kontaktjainkat a telefonkönyv bejegyzéseivel, amit szinte mindenki meg is tesz. Olyan részletekbe pedig most ne is vesszünk bele, hogy a Facebookról máig akkor is kikerült az exportált adatok közé a hívószám, ha az nincs is láthatóra állítva, de az exportálhatósága nincs letiltva (ami ugyancsak alapértelmezés).

A másik fanyar sajátosság, amire a felhasználó nem gondol, hogy az alkalmazás miért lehet mégis ingyenes? Igen, éppen azért. Mert az általuk megszerzett adatokat bizarr módon pont ők elvben át is adhatják harmadik – például telemarketing tevékenységet végző – félnek. Ami a felhasználót akkor sem érdekelné, ha tudna róla, neki az a lényeg, hogy az alkalmazás működjön és kész. A bejegyzések persze maradnak az adattárházban azt követően is, ha a felhasználó egyébként az alkalmazást törölte.

Eddig világos, de hol szivárog ki az adat?

Az ilyen szolgáltatónak nincs is jobb reklám, mintha közvetlenül bizonyíthatja a hatékonyságát a felhasználó előtt. Aminek nyilván a legkézenfekvőbb módja, ha webes felületen megadva a számot szépen vissza is tudja adni, hogy az addig feltöltött adatai szerint a szám kihez tartozik. Valahogy így:

telefonszam-kereses-1

telefonszam-kereses-2

Külön parádés az egészben, hogy ezek a szolgáltatások a találatok pontosságának növelése érdekében kiolvassák a lekérdezést végző felhasználó Google- és Facebook-címtárát is azok API-jain keresztül (igaz, már rákérdeznek előtte), de miért ne kattintana a felhasználó ismét az engedélyezésre?

A fenti két példában csak keresztnevet adott vissza, egyszerűen mert ezen a néven voltam elmentve egy vagy több ismerősöm telefonkönyvében, aki használ ilyen appot. Természetesen mindegy, hogy valaki fehérlistán vagy tiltólistán van számon tartva, ugyanúgy tárolódik, lekérdezhető. A fenti módszerek pár hete még működtek, de ha az olvasó most rákeres a saját számára vagy a fenti mobilszámra, alighanem nem kap majd találatot.

Egész egyszerűen arról van szó, hogy ezeknek GDPR-compliant-eknek kell lenniük egy-két hete, ami a gyakorlatban annyit jelent, hogy ezek az adatbázisok hirtelen megcsappantak, és világos, hogy valamennyi időnek el kell telnie ahhoz, hogy újra felhízlalják őket maguk a felhasználók. Igaz, ebben az esetben én nem rendelkeztem róla, hogy a nevemhez tartozó szám valahova felkerülhet-e, ezt bármiféle tudtom – na meg a saját tudta nélkül – megtette helyettem egy ismerős, akinek benne vagyok a telefonkönyvében.

De ha még nem is működnének ilyen szolgáltatások, akkor is számos módja van annak, hogy egy számhoz megtaláljuk a hozzá tartozó személyt, legalább egy keresztnév szintjén. Szinte mindenki használ Vibert, Whatsappot, Signalt, Telegramot vagy Facebook Messengert. Ezeknél az egyszerű keresési lehetőségek szempontjából némi eltérés van ugyan, de a lényegen nem változtat: kereshetünk bennük telefonszám, email cím, nicknév vagy név szerint is, GDPR ide vagy oda. A keresési-kényelmi lehetőségek nélkül ezek a szolgáltatások konkrétan használhatatlanok lennének.

Az összes üzenetküldő átfésüli a telefonkönyvünket és ha valamilyen azonosító alapján egy bejegyzéshez tartozik az üzenetküldő rendszerben is létező felhasználó (bármelyik azonosításra alkalmas adat szerint), gyakran már meg is jelenik az adott üzenetküldő címjegyzékében.

Remek kérdés, hogy az összes felhasználó hány ezrelékének, esetleg tízezrelékének jut eszébe, hogy az instant üzenetküldő szolgáltatásokhoz sokszor néhány perc alatt létrehozható VoIP-számot hozzon létre és rendeljen hozzá, amivel nehezebben lesz megtalálható ugyan, csak kicsivel lesz nehezebb helyzetben az, aki tudja, hogy hogyan keressen. Ráadásul az okosmobilok IM-appjainak mindegyikében lehetőség van avatar-kép beállítására is, ami alapértelmezés szerint Facebook-profilkép, de lehet olyan profilkép is, ami még a keresőmotorok képkeresőivel is kereshető.

A GDPR nagyon csúnyán odaszúrt a reverese lookup szolgáltatásoknak, aminek ideig-óráig vesztesei a nyomozó hatóságok, amiknek a munkáját már jóideje hatalmas mértékben segíti a nyílt forrású információszerzés. A GDPR vesztesei a magánynyomozó-irodák és vesztese mindenki, aki OSINT-eszközöket használ. Márpedig például a fent bemutatott két szolgáltató annyira komolyan veszi a GDPR-t, hogy például ezen cikk szerzőjének +12024700790, azaz Egyesült Államok-beli számát sem adja már ki találatként, mert a hívószám amerikai ugyan, viszont a hozzá tartozó személy, konkrétan bardóczi ákos, csupa kisbetűvel, EU-s állampolgár, amit ugye ezeknek a szolgáltatóknak tudnia kellett.

Alighanem azok a szolgáltatók, amik nem kis üzletet építettek a hívószámok osztályozására, megtalálják a módját, hogy megmaradjanak, mint GDPR-megfelelőségnek eleget tevő szolgáltatók. Egyelőre nem tudható, hogy a GDPR mennyire csorbította a különböző OSINT-források használhatóságát.

A telefonszámokhoz tartozó nevek megtalálása egy igencsak szerteágazó téma, gyakran kaptuk azt a kérdést, hogy egy személyhez tartozó mobilszám hogyan szerezhető meg. Ennek ugyancsak számos módja van, viszont ha valaki nem elég felkészültséggel végzi, könnyen megsértheti a törvényt. Bizonyos esetekben passzív felderítési módszerrel nem is lehetséges célt érni. (Most technikai lehetőségeket tárgyalunk, és nem jogászkodunk, mivel ahhoz nem értünk.)

A GDPR más területen is olyan változásokt (károkat?) okozott, amiknek még nem látjuk a méretét. Ha eddig valaki bármilyen okból kíváncsi volt rá, hogy egy domain név kihez tartozik, bármikor végezhetett egy WHOIS-lekérdezést, ami olyan kulcsfontosságú adatokat tartalmazott, hogy kivel lehet felvenni a kapcsolatot, ha a domain alatt valamilyen szolgáltatás elérhetetlen, esetleg a domain neve már-már védjegybitorlás vagy súlyosan megtévesztő. Igaz, mióta létezik WHOIS, azóta létezik WHOIS masking is, azaz amikor a domaintulajdonos kérésének megfelelően a tulajdonos adatai helyett egy erre szakosodott szolgáltató adatait mutatta a WHOIS-rekord, viszont az, hogy valaki WHOIS-masking mögé bújt, itt nem részletezett módon ugyanúgy hasznos információ volt, illetve a WHOIS maskinget ki is lehetett játszani sokszor.

A .eu legfelső szintű domain neveket regisztrációja sokáig csak EU-s állampolgárok és szervezetek számára volt elérhető, ahogy egy időben még a regisztrátornak, azaz a regisztrációt végző cégnek is európainak kellett lennie. Ennek ellenére követhetetlen mennyiségű .eu-s domaint regisztráltak be a világ legkülönbözőbb részeiről, és éppen szabályos EU-s regisztrációból van a legkevesebb.

Korábban példának okáért, ha valaki olyan webhelybe botlott, ami nagyon durván törvénysértő tartalmat hordozott, a domainekhez tartozó WHOIS-adatokat az EUrID-ből lekérdezve el lehetett indulni, hogy kié lehet. Ha pedig maszkolva volt, akkor lehetett jelezni a domaint maszkoló szolgáltatónak, hogy baj van. Az persze nem várta meg, hogy elverjék rajta a port a hatóságok, hanem seperc alatt szerződést bontott a problémás ügyféllel, azaz rögtön látható váltak a kimaszkolt adatok.

Mára az .eu-s domainekkel kapcsolatban az EUrID csak annyit mond, hogy foglalt vagy sem és melyik cég a regisztrátor. Ezen kívül van egy hihetetlenül kretén protokoll arra az esetre, ha baj van. Ezen elvileg végig lehetett menni, ha például egy cégnek a nevéhez fűződő jogát megtévesztő módon sérteti egy domain név, hogy durvábbat ne is mondjunk.

Lehetne írni, hogy az Európai Unió domain-ügyben a Kókusz-szigetek (.cc) vagy éppen Palau (.pw) szintjére züllött le, a helyzet talán még annál is rosszabb. (A .cc és a .pw alá tartozó domainek a nehézkes visszakövethetősége miatt annyira a bűnözés, főként spam- és malware-ek terjesztésének melegágyai voltak, hogy a Google tízmilliószámra takarította ki a .cc és .pw végződésű domainekre mutató találatokat az indexéből.) Sajnos a GDPR a szervezett bűnözésnek kedvez azzal, hogy gyakorlatilag ellehetetlenítette egy-egy .eu alá tartozó domain tulajdonosával kapcsolatos információk korábbi rutinszerű elérését.

A végére hagytunk valamit, amit talán helyesebb lett volna az elején értelmezni. Mégpedig, hogy amikor haladó keresésről vagy OSINT-ről van szó, akkor a keresés alanyai a példáinkban miért éppen személyek, nem pedig helyek, események vagy folyamatok.

Egy didaktikai-nyelvtudományi megközelítésű válasz: miért láthatjuk nyelvtől függetlenül, hogy az összes kezdő nyelvkönyv már a legelején olyan példamondatokat tartalmaz, aminek van egy konkrét alanya, akinek a neve például Móricka, Alejandro, Maximilian, Anastasia és így tovább? De még ha nem is nem nyelvkönyvről, hanem kőkeményen nyelvészettudományi könyvről van szó, ott is megjelenik nagyon hasonló. Alberti Gábor és Medve Anna amolyan középhaladó Generatív grammatikai gyakorlókönyvében 640 oldalon keresztül Péterről és Mariról van szó.

A másik ok végül is ugyancsak didaktikai megközelítésű. A történelmi eseményeket emberek alakították, a politikában, az üzleti világban vagy éppen egy bűnügyben, de a mindennapokban is az egyik alapkérdés, ami nélkül egy-egy tény gyakran értelmezhetetlen, hogy kinek a személyéhez köthető.

Azaz nyugodtan kijelenthető, hogy minden olyan intézkedés, ami a személyhez kötődő adatok hozzáférhetőségét ésszerűtlenül korlátozza, a teljes információszabadságot korlátozza, amiben mi, magyarok, eddig is eléggé erősek voltunk: a NAIH egy nem is olyan régi állásfoglalása szerint a levéltárakba eleve anonimizáltan (!!!!!) kellene eljutniuk a dokumentumoknak, aminek az eszementségét nem kommentálnám, de azért képzeljünk el egy olyan történelemkönyvet, ahol az összes személynév fekete filccel van kihúzva.