Google hacking
Google hacking er en betegnelse der normalt bruges til at beskrive “arbejdet” med at finde frem til “hemmelige” oplysninger via en søgemaskine. Hvis man søger på personer, kombineret med specielle filtyper, og andre specielle søgefunktioner kan man finde frem til mange “spændende” ting. Personlige informationer, som måske slet ikke burde kunne findes. CPR-numre, ansættelser, medlemskab af foreninger, billeder (af varierende tper) adresser osv.
Sidste år skabte det en del opmærksomhed da Cnet offentliggjorde en artikel hvor de med udgangspunkt i Google havde forsøgt, at finde frem til så mange personlige ting om direktøren Erick Schmidt som muligt. Google hacking mod Google selv. Og det var ikke småting de fandt frem til. Så meget, at Google blev virkelig sure. Så sure, at de truede Cnet med, at de ikke ville tale med dem i et helt år. En anelse barnligt. Særligt set i lyset af, at det faktisk var informationer, som de fandt i netop Google.
Tidligere i år var der en anden sag fremme, da AOL ved en fejltagelse kom til at lægge en ret stor database over historiske søgninger på AOL ud på nettet til fri download. Der var ingen navne på listen, men IDs som kunne kæde søgninger fra den samme bruger sammen. En avis forsøgte så på baggrund af dette, at se om de kunne finde frem til rigtige personer – dem der havde søgt. Og det kunne de! De opsøgte kvinden de havde fundet frem til og rigtig nok – det var hende. Hun var vist noget overrasket over at alle hendes søgninger var tilgængelige for journalisten, og ikke mindst at han kunne koble dem direkte til hende.
Nu er amerikanere jo lidt mere følsomme med personlige informationer end vi normalt er her i Norden. Nogle af de ting som forargede Eric Schmidt fra Google ville nok ikke have bekymret mange her. Men er det muligt at finde ting om danskere, som man ikke burde kunne finde? Ja, bestemt! For eksempel CPR-numre.
Prøv f.eks. at søge på “filetype:xls cpr” (uden quotes) og se hvad der dukker op. Jeg fandt med denne søgning flere lister med navne, CPR-numre, adresser og eksemenskarakterer fra Universiteter! CRP-numre bør ikke lige frit fremme på den måde. Faktisk tror jeg det er ulovligt. I alle fald er det i hvert fald bekymrende.
Og det er ikke bare Google der kan bruges til Google hacking. Der findes masser af andre databaser der kan søges i.
Hvad er din erfaring med Google hacking? Har du tjekket dig selv? Har du nogle “spændende” søgninger du vil dele med os andre? Nogle tips?
Christian Foged skriver
Spooky shit med CPR eksemplet.
Handler meget om uvidenhed fra mennesker der ligger den slags informationer på web’en. Tror aldrig helt at man kommer uden om uvidenhed….
En ting er dog helt sikkert, og det er at det er ulovligt. Persondataloven er ret beskrivende for den slags, så hvis man googler sig selv og finder sit CPR online, er der basis for en politianmeldelse.
Og så et af favoritcitaterne, som passer ind her “Sometimes when I feel lonely I google myself” 😉
Mikkel deMib Svendsen skriver
Ja, det største problem er helt klart at folk ligger dokumenter på computere der kan tilgåes fra Nettet, som slet ikke burde ligge der. Jeg kan slet ikke se, hvad en liste med elevers CPR-numre, navne og karakterer laver på en webserver.
Jeg synes ikke man kan skyde skylden på hverken Google eller de andre søgemaskiner. Det er ikke dem der har lagt disse informtioner på Nettet uden at beskyte dem.
Christian skriver
Jeg skulle selvfølgelig også prøve CPR søgningen, og til min store overraskelse genkendte jeg det første resultat… (fra http://www.ibt.ku.dk).
Filen er sample-data fra et database/Excel kursus for økonomer og jurister på Københavns Universitet.
Ingen grund til bekymring der 😉
Lars Bachmann skriver
Google hacking er et sjovt fænomen, og jeg har brugt mange timer på at sidde og finde alverdens sjove dokumenter, passwords og andet guf, som ikke burde ligge på nettet.
Her den anden dag, fandt jeg et excel dokument fra et udenlansk rejsebureau, hvor der stod navn, email, ansættelses periode, hvor de var udstationeret (nogle i Danmark), samt deres løn??
Jeg har netop prøvet at finde det igen, men uden held, men når jeg lige kommer til hjemme computeren kan jeg nok se i min historik hvad adressen var, så vender jeg lige tilbage.
Morten skriver
Som nævnt i en anden kommentar havde jeg eksemplet “employees .xls airport” der lister en hel række af folk – også danskere ansat i en lufthavn. Der er både navne, lønninger, personalenummer m.m.
Derudover kan man google “intitle:snc-rz30 inurl:home/ ” og få en liste over folks sony-webcams, som man kan lege med (vel at mærke kun de folk, der har sat deres webcam op efter default-metoden). Eet af dem er her http://168.105.203.190/home/homeJ.html. Hvis man vælger “Control” får man mulighed for at fjernstyre kameraet.
For et par måneder siden var der da også en kommune, som havde fået lagt alverdens personlige oplysninger ud på nettet. Vistnok en kinesisk tolk googlede sig selv og så sine egne løn-oplysninger på nettet, fordi hun havde arbejdet for kommunen. Flovt….
Claus skriver
Problemet ligger vel i at det er 2 verdner som snakker sammen. Den ene er dem som er uvidende omkring hvad nettet kan og hvordan data findes, behandles og distribueres. De arbejder i god tro, og kan vel ikke forventes at skulle sætte sig ind i alt omkring internettet. (Problemet her ligger vel for de gældende Webmastere som tillader distribution af følsomt materiale ud på et intraweb/extranet og ligende. De har muligheden for at lave disse check med filtre og stoppe følsomt materiale )
På den anden side har vi så søgetjenesterne som gør deres arbejde rigtig godt (i mine øjne) mht at finde data og crawle og indexer det
Mikkel deMib Svendsen skriver
Jeg forstår godt hvad du mener, Claus, men jeg er bare ikke enig. En webserver er forbundet med Nettet – det vil sige alle de milliarder der har adgang. Det er basisviden. At lægge noget på en webserver, svarer til at lade det ligge og flyde på gaden.
Det svrer til den PET agent der for nylig smed nogle fortrolige papirer på en S-station. Det vidste han også godt man ikke må.
Jeg tror ikke det er viden der mngler – det er menneskelig omhyggelighed med følsomme informationer
Morten skriver
Njah Mikkel, det svarer ikke helt til den PET agent. For han vidste jo ikke, at han smed papiret. Han tabte det. De folk, der lægger ting på nettet, ved godt, at de lægger ting på nettet. De ved bare ikke, at det bliver fundet ;o)
Forstår også godt Claus, men personfølsomme data skal stadig behandles med omtanke. Uanset om man har kendskab til søgemaskinernes grundighed eller ej.
Mikkel deMib Svendsen skriver
Jo det svrer helt fint til PET agenten for problemet var ikke at at tabte det papir – problemet var at han i første omgang opbevarede det på en helt igennem uforsvarlig måde (i sin jakkelomme). Det var opbevaringen der gorde at det gik galt – præcis som andre fortrolige dokumenters opbevaring på Nettet
Lars Bachmann skriver
Morten > Det var lige præcis den søging jeg snakkede om.
Tjek det øverste resultat her: http://www.google.dk/search?q=employees .xls airport&hl=da&lr=&start=20&sa=N
Lars Bachmann skriver
En anden god en er “inurl:MultiCameraFrame”, der er blandt andet den her: http://demo.netkamera.dk/MultiCameraFrame?Mode=Refresh&Language=7 og denne http://cam1.cyberbob.ch:88/MultiCameraFrame?Mode=Motion&Language=5
Mathias skriver
Min veninde fra hskoleogliv.dk havde netop det problem fordi hun ikke var forsigtig nok. Det er et uhyggeligt sted det her internet, men hvis man passer på sig selv, ligesom man ville hvis man gik igennem en mørk gyde på nørrebro kl 3 om natten lørdag aften. Så er det muligt at forbedre nettet