OSINT через торговые площадки: что расскажут твои покупки на Wildberries и AliExpress

Ты, наверное, думаешь, что если купил “сервис на три буквы” за три бакса и поставил никнейм «DarkLord99» в Telegram, то стал криптоанархистом-невидимкой? Спешу тебя расстроить. За годы в цифровой форензике я усвоил одно золотое правило: люди могут мастерски шифровать свои переписки, но палятся на покупке туалетной бумаги со скидкой.

Добро пожаловать в мир маркетплейс-OSINT. Сегодня я расскажу, как твои профили на Wildberries, AliExpress и Avito сдают тебя с потрохами. И да, мы будем говорить о легальных методах разведки по открытым источникам, так что не повторяйте это дома в незаконных целях, я серьезно. Моя задача – показать, где у вас дыры в OPSEC (операционной безопасности), а не плодить мамкиных хакеров. Погнали, без воды.

ПВЗ как твой личный GPS-маячок

Начнем с классики вроде Wildberries и Ozon. Маркетплейсы – это кладезь геоданных и поведенческой аналитики. Ты можешь не указывать свой адрес в соцсетях, но ты всегда заказываешь посылки в пункт выдачи заказов (ПВЗ) рядом с домом или работой.

В даркнете регулярно всплывают отголоски слитых баз данных, где фигурируют ФИО, номера карт, почты и информация о последних заказах клиентов. Компании, конечно, всегда заявляют о надежной защите, но недавние публичные программы bug bounty (в которых тот же Wildberries прямо добавил OSINT-направление) показали, что исследователи всё равно находят уязвимости вроде IDOR (ошибки контроля доступа) и утечки чувствительной информации.

Но профессионалам часто даже не нужны закрытые базы, так как достаточно открыть пользовательские отзывы. Люди массово фотографируют кроссовки или шторы прямо в своих квартирах. Вид из окна на фото в сочетании с пониманием примерного района (по твоему излюбленному ПВЗ) позволяет вычислить точный адрес вплоть до подъезда за 15 минут работы в панорамах картографических сервисов. А если на фоне случайно засветился кусок коммунальной квитанции с фамилией, то дело можно считать закрытым.

Китайский след и синдром хвастовства

AliExpress – это вообще отдельная песня, где люди сами отдают ключи от своей приватности. Мало кто знает, но в арсенале разведчиков существуют специализированные OSINT-модули, которые позволяют пробивать аккаунты на «Алике» просто по адресу электронной почты.​

Самое сладкое для следователя – это отзывы с фотографиями распаковки. Вот пара главных ошибок пользователей:

• Радостный покупатель фотографирует посылку, забыв замазать трек-номер.
• Один запрос в логистический сервис по этому трек-номеру выдает реальные ФИО получателя и индекс почтового отделения.
• Пользователь замазывает свой телефон на этикетке полупрозрачным маркером в штатном редакторе смартфона.
• Форензик-специалисту достаточно выкрутить контрастность и экспозицию в фоторедакторе, чтобы прочитать цифры за пару кликов.

Avito как таймлайн твоей жизни

Avito – это не просто барахолка, а готовое цифровое досье на человека. Поиск аккаунта по номеру телефона выдает всю историю твоих объявлений, в том числе закрытых.​

Продаешь детскую кроватку – значит, у тебя есть ребенок определенного возраста. Ищешь запчасти на Ford Focus 2012 года – мы знаем, на чем ты ездишь. Сдаешь квартиру – спасибо за подробнейшие фотографии планировки и вид из окна. По одному профилю можно составить точный психологический портрет, оценить уровень дохода и узнать расписание дня продавца. А учитывая, что люди часто используют одни и те же никнеймы на разных площадках, связать профиль Avito с отзывами на других сервисах (откуда легко вытащить логин) не составляет никакого труда.​

Мастер-класс по деанону

Допустим, мне нужно найти человека, который оставил в сети анонимную угрозу. Вот как это работает в связке:

1. Прогоняю никнейм через поисковики и нахожу профиль на площадке с отзывами.
2. В одном из отзывов на строительный инструмент нахожу фразу: «Брал для ремонта гаража в Малаховке».
3. Ищу этот же никнейм на барахолках и нахожу закрытое объявление о продаже старых шин с фотографией того самого гаража.
4. По визуальному осмотру (поиск похожих ворот и соседних строений на панорамах) сужаю круг поиска до конкретного кооператива.
5. Проверяю никнейм или почту через OSINT-модули для маркетплейсов вроде AliExpress.​
6. Вытаскиваю привязанный телефон из старой базы утечек или неудачно замазанной фотографии посылки.​

Как не стать пациентом форензик-лаборатории

Готов учить, поэтому записывай базовые правила цифровой гигиены, пока я не передумал:

• Заведи отдельный номер телефона (виртуальный или вторую симку) и отдельную почту исключительно для маркетплейсов.
• Фотографируй товары для отзывов на фоне однотонного стола, без отражений в зеркалах и документов на заднем плане.
• Рви и уничтожай штрихкоды и этикетки с ФИО, прежде чем выкинуть коробку в мусорку (dumpster diving никто не отменял).
• Используй вымышленные имена в публичных профилях торговых площадок, курьеру совершенно не обязательно знать твою настоящую фамилию.

Цифровой след не вырубишь топором. Всё, что однажды попало в сеть маркетплейса, останется там навсегда – в кэше, в логах или в сохраненных датасетах. Так что в следующий раз, заказывая чехол на телефон, подумай, какую историю этот заказ может рассказать о тебе.