По данным IBM X-Force Threat Intelligence Index 2025, в даркнете ежедневно всплывает более 6 000 свежих наборов учётных данных. За 2024 год 75% вторжений, расследованных CrowdStrike, использовали действительные учётные данные - не эксплойты, не zero-day. Просто логин и пароль. Откуда они берутся? Из цифрового следа, который люди оставляют на сотнях площадок под одним и тем же никнеймом. Инструменты username OSINT деанонимизации сканируют от 300 до 2500+ платформ одновременно. Но между запуском сканера и реальной атрибуцией - пропасть из ложных срабатываний, rate limiting и юридических ограничений. Ниже - workflow, который эту пропасть закрывает: от первого запроса maigret до построения верифицированного identity graph.
Место деанонимизации пользователей в цепочке атаки
Username OSINT - фаза Reconnaissance по MITRE ATT&CK. Три техники, которые описывают этот процесс напрямую: Подробнее - в нашем подробном разборе asset management пентест.- Gather Victim Identity Information (T1589) - сбор имён, email-адресов, учётных записей цели
- Search Open Websites/Domains (T1589) - поиск данных по открытым веб-ресурсам и соцсетям
- Search Open Technical Databases (T1596) - Shodan, WHOIS-история, certificate transparency логи, breach databases
Полная цепочка persona tracking OSINT:
- Username scan - массовая проверка никнейма на сотнях платформ
- Email discovery - извлечение email из найденных профилей
- Breach data lookup - проверка email и username по утечкам
- Cross-platform correlation - связывание аккаунтов через метаданные (аватар, пароль, geo, временные паттерны)
- Identity attribution - подтверждение связи минимум через два независимых канала
Инструменты поиска по username: архитектурные отличия
Требования к окружению
- ОС: GNU/Linux (Kali, Ubuntu 22.04+), macOS, Windows (WSL2 рекомендуется - asyncio на чистой винде периодически чудит)
- Python: 3.8+
- RAM: минимум 4 ГБ (сканирование 2500+ сайтов одновременно нагружает DNS-резолвинг и HTTP-пулы; на 2 ГБ ловите таймауты)
- Сеть: стабильное интернет-соединение - каждый запрос идёт к целевой платформе, offline-режим невозможен
- Прокси (рекомендуется): ротация через SOCKS5 или HTTP-прокси; без ротации бан IP реалистичен после 50-100 запросов к одному сервису
- Установка:
pip install maigret(активно поддерживается, ~10k звёзд на GitHub),pip install sherlock-project(неpip install sherlock- это другой пакет, не перепутайте)
Maigret, Sherlock и WhatsMyName: когда что запускать
Maigret - форк sherlock с существенно расширенным покрытием. Ключевое архитектурное отличие: собственная база данных сайтов с метаинформацией. Для каждого сайта указан тип проверки (response code, redirect, body content, специфический паттерн в HTML). Покрытие - 2500+ платформ, генерация отчётов в HTML, PDF и JSON. Maigret умеет вытаскивать дополнительные данные из найденных профилей: email, имя, био, аватар - если профиль публичный. Это делает его основным инструментом для полного OSINT расследования личности.Запуск с оптимальными параметрами:
Bash:
maigret target_username -a --timeout 15 --retries 1 --json results.json
-a включает все сайты из базы. --timeout 15 - критичный параметр: при дефолте сканирование растягивается на 20-30 минут. С таймаутом 15 секунд реалистичное время - 8-12 минут. --retries 1 отсекает зависшие запросы без повторных попыток.Sherlock (sherlock-project) - инструмент проще: ~400 платформ, community-contributed wordlist. Архитектура: HTTP GET -> проверка status code -> вывод. Проблема: на части сайтов проверка по status code даёт false positives, потому что сервер отвечает 200 на любой username, а реальное наличие аккаунта определяется содержимым страницы. Sherlock это знает и для части сайтов переключается на body content, но покрытие шаблонов уже, чем у maigret. Запуск:
sherlock target_username --timeout 10 --print-found --csv.WhatsMyName - не CLI-утилита, а поддерживаемый JSON-файл с описаниями проверок для сотен сайтов. Используется как backend в WhatsMyName.app (веб-интерфейс) и как data source для кастомных скриптов. Сильная сторона: wordlist обновляется community активнее, мёртвые сайты удаляются быстрее, чем в sherlock.
Holehe - инструмент для проверки регистрации email на сервисах. Репозиторий архивирован в феврале 2024. Большинство модулей возвращают ложноотрицательные результаты в 2025 - API сервисов поменялись, а мейнтейнер ушёл. Замены: Epieos (веб-сервис), maigret (поддерживает email-based сканирование) или кастомные скрипты на основе WhatsMyName-базы.
Ограничения техник сканирования
Сканирование по username НЕ работает в следующих случаях:- Цель использует уникальный никнейм на каждой платформе (compartmentalization) - корреляция по username бессильна
- Цель применяет разные email-адреса без пересечений
- Платформа требует авторизации для отображения профилей - сканер получает redirect, но не определяет наличие аккаунта
- Платформа использует капчу или Cloudflare JS Challenge на странице профиля - HTTP-запрос без headless-браузера блокируется
- Username - common word с цифрами (alex123, user2024): совпадения на 200+ сайтах статистически ничего не значат. Людей с ником "alex_2023" - сотни на любой платформе
Email OSINT инструменты и breach data корреляция
Email-разведка - второй вектор после сканирования по username. И часто более результативный.Epieos (epieos.com) - веб-сервис, который по email-адресу возвращает список сервисов, где адрес использовался для регистрации. Механизм - side-channel проверки: формы восстановления пароля, утечки Google-ревью и похожие. Не требует установки. Ограничение: rate limiting на бесплатном тарифе режет массовые проверки.
Have I Been Pwned (haveibeenpwned.com) - проверка email на участие в утечках данных. HIBP агрегирует сотни утечек с верифицированными данными. Конкретные цифры по утечкам, релевантным для деанонимизации:
- LinkedIn - инцидент: май 2012; полный дамп публично раскрыт в мае 2016; PwnCount по HIBP: 164 611 595 записей (email + пароли)
- Internet Archive (сентябрь 2024): 31 081 179 записей - email, пароли, usernames
- START (breach 2021, публичное раскрытие - август 2022): 7 455 386 записей - email, геолокация, имена, пароли
- Yandex Dump (2014): 1 186 564 записей - email и пароли
- Plex (2015): 327 314 записей - email, IP-адреса, пароли, usernames
- Technic (2018): 265 410 записей - chat logs, email, IP, пароли, приватные сообщения
Пример workflow: email из LinkedIn-дампа (164 611 595 записей) сопоставляется с данными Internet Archive (31 081 179 записей, включая usernames). Если email совпадает и username в Internet Archive совпадает с целевым никнеймом - атрибуция фактически завершена через два независимых канала. Два совпадения - и дело закрыто.
Trade-off таблица: user-scanner и аналоги для OSINT расследования
| Инструмент | Покрытие | Тип проверки | Когда использовать | Когда НЕ использовать |
|---|---|---|---|---|
| Maigret | 2500+ | Status code, redirect, body content, метаданные | Полное расследование с отчётом; нужна максимальная ширина покрытия | Быстрая проверка одного ника, когда время критично |
| Sherlock | ~400 | Status code, body content | Быстрая проверка основных платформ за 2-3 минуты | Нужно покрытие нишевых сайтов; нужны метаданные профиля |
| WhatsMyName | 500+ | JSON-based (интегрируется в кастомные скрипты) | Построение автоматизированных пайплайнов; нужен актуальный wordlist | Разовая ручная проверка без навыков Python |
| Epieos | 100+ сервисов | Side-channel (password recovery, Google reviews) | Email-фокусированные задачи; начало расследования | Массовые проверки (rate limiting) |
| Holehe | 100+ | API-проверки (архивирован 02/2024) | Не рекомендуется в 2025 | Любой production-сценарий - модули сломаны |
Выбор инструмента определяется задачей. Для быстрой проверки 5-10 никнеймов - sherlock. Для полного цифрового следа пользователя с отчётом - maigret. Для email-разведки - Epieos + HIBP. Для интеграции в автоматизацию - WhatsMyName JSON как datasource.
Практический workflow: от username до атрибуции
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Метаданные аватаров - отдельный вектор, который часто недооценивают. Команда
exiftool -GPS* -Model -DateTimeOriginal avatar.jpg извлекает GPS-координаты, модель камеры и дату из фотографии, если EXIF не был зачищен. Совпадение аватара на двух платформах с идентичными EXIF-данными - сильный маркер: вес в identity graph приравнивается к совпадению email.Атрибуция считается завершённой, когда минимум два независимых канала подтверждают связь. Username + email из breach data - один канал. Username + идентичный аватар на двух платформах - второй. Два канала = рабочая гипотеза для отчёта. Три канала = высокая уверенность.
Обход rate limiting и антибот-защит
Массовое сканирование 2500+ сайтов с одного IP гарантированно вызовет баны. Практические способы обхода:Ротация User-Agent - тривиальная мера, но работает против простых WAF. Maigret ротирует User-Agent из коробки, для sherlock нужна обёртка.
Proxy chains - SOCKS5-прокси через Tor или коммерческие ротирующие прокси. Maigret поддерживает флаг
--proxy. Tor даёт стабильность, но часть сайтов блокирует exit nodes. Коммерческие residential-прокси реже блокируются, но стоят от $5-15/ГБ трафика.Throttling между сканированиями - при проверке нескольких никнеймов последовательно пауза между запусками снижает вероятность бана:
Bash:
for user in nick1 nick2 nick3; do
maigret "$user" -a --timeout 15 --json "${user}.json"
sleep 30
done
Правовые рамки: ФЗ-152 и scope of work
ФЗ-152 "О персональных данных" регулирует обработку персональных данных в России. Для OSINT-практика границы такие:
- Сбор из открытых источников - допустим, если данные размещены субъектом добровольно и публично
- Систематизация и профилирование - серая зона: создание досье на человека без согласия может квалифицироваться как нарушение ФЗ-152
- Работа с breach data - юридически рискованна: использование утёкших баз без санкции может повлечь ответственность даже при пентесте
Практическое правило: scope of work от заказчика должен содержать явное разрешение на OSINT-разведку с указанием конкретных целей и допустимых методов. Строчка "разведка по открытым источникам" без конкретизации - недостаточна. Проверено на практике.
Из опыта: половина false positives при username OSINT возникает не из-за инструментов, а из-за поспешных выводов аналитика. Совпадение никнейма на Reddit, Steam и Telegram ещё ничего не доказывает - пока нет подтверждения через email, breach data или метаданные аватара. Я видел расследования, которые строились на трёх совпадениях username и заканчивались атрибуцией не того человека: "alex_2023" - предсказуемый паттерн, и людей с таким ником сотни.
Индустрия движется к автоматизации корреляции: maigret уже извлекает email из публичных профилей и строит базовые связи. Но полноценный identity graph по-прежнему требует ручной верификации каждого ребра. Через год-два инструменты начнут автоматически валидировать атрибуцию через два независимых канала - сейчас этого нет ни у кого. Пока автоматизация не дотянулась, главный навык OSINT-аналитика - не запуск user-scanner, а умение отличить сигнал от шума в 2000 строк вывода. Если хочешь отработать эту цепочку в контролируемой среде - OSINT-задачи на HackerLab.pro(https://hackerlab.pro) дают этот опыт фильтрации при дефиците времени.
Последнее редактирование модератором: