Всем привет! Рассмотрим задачу «Финский инсайдер» с площадки Antichat.games из раздела OSINT.



[далее имена, хеши, адреса сайтов и электронных почт изменены]

Выделяем факты из текста задания:

• финская компания имела филиал в России и компании было что сливать
  
• сотрудник, который сливал инфу, имел какое-то отношение к почте mаriа.bruun@рр.inеt.fi
  
• при обследовании рабочего места сотрудника, был обнаружен блокнот Moleskine Studio с записями, фигурка слона, конфеты Porvoon Lakritsi, золотистая зажигалка Zippo и открытка с теплохода Christina
  
• пол сотрудника - мужской

Попытаемся выяснить, сколько вообще финских компаний работает в России:



Думаю, можно составить список всех компаний и попытаться собрать о каждой информацию из прессы, баз данных судебных решений и прочих источников, но мне не кажется, что компаний слишком много — пока оставим этот вектор.

Из текста задания мы выделили, что мужчина, допустивший утечку корпоративных тайн, имел отношение к электронной почте mаriа.bruun@рр.inеt.fi.
Переходим www.inet.fi и пробуем получить какую-нибудь информацию о почте mаriа.bruun@рр.inеt.fi. Запускаем процедуру восстановления пароля и получаем последние 4 цифры телефона владельца почты.



В поисковике забиваем адрес электронной почты и смотрим результаты выдачи:



Первую ссылку пропускаем — там датчанка продает шкафы.

А вот по второй ссылке открывается сервис проверки электронных почт — посмотрим:



В результатах проверки из полезного можем выделить только то, что имя пользователя Maria Bruun и пользователь с этой почтой зарегистрирован в Gravatar.

Посмотрим, что можно достать из Граватара. Читаем документацию Gravatar про создание хеша, запрос изображения граватара и запрос профиля.

Получаем хеш:

PHP:


hash = da3db8b66ca67889095a0ca25cd1d3d6

Получаем профиль:



Гуглим никнейм из профиля и по первой ссылке получаем ссылку на сайт разработчиков какой-то платформы “6sense” в сфере торговли, но платформа нам не важна — главное что тут есть запись о том, что пользователь с таким же ником как и в системе граватар пользуется услугами компании «6sense” с указанием адреса сайта подключенного к этой платформе:





Переходим по адресу и видим сайт антикварной лавки. Прокрутив вниз находим номер телефона и e-mail.



Последние четыре цифры телефона 0405-984-734 совпадают с последними цифрами телефона используемого при восстановлении пароля почты mаriа.bruun@рр.inеt.fi.

Сдаем найденную почту в качестве флага, а под этим постом оставляем реакцию.

PS: Не смог найти какую-либо информацию про утечку данных — ткните меня в комментах... Или же это выдуманная история? И, кстати, путь через Skype получается существенно короче.