Человек сфотографировался дома. Красивый угол, хорошее освещение. Выложил в соцсеть.
Через несколько часов незнакомец написал ему точный адрес.
Не взламывал аккаунт. Не знал его лично. Просто посмотрел на фотографию внимательнее чем он сам.
Это называется деанонимизация по фото. И она работает по нескольким каналам одновременно. Каждый из которых — отдельная уязвимость.
Первый канал: метаданные
Про EXIF уже писали — но повторим потому что это важно.
Каждый снимок сделанный на смартфон содержит скрытый блок данных. Там — точные GPS-координаты места съёмки, дата, время, модель телефона. Если вы сфотографировались дома с включённой геолокацией — в файл записан ваш домашний адрес с точностью до нескольких метров.
Это данные не на фотографии. Это данные внутри файла. Глазами их не видно. Но любая программа просмотра метаданных читает их за секунду.
Большинство соцсетей при загрузке фото удаляют EXIF — ВКонтакте, Instagram это делают. Но если вы отправляете фото как файл через мессенджер, публикуете на форуме или размещаете на сайте объявлений — метаданные могут сохраниться.
Реальный случай: Джон Макафи — основатель известного антивируса — скрывался от властей. Журналист его нашёл и опубликовал фото. В EXIF остались координаты. Через несколько часов Макафи задержали в Гватемале.
Второй канал: фон фотографии
Метаданных нет — не страшно. Есть кое-что надёжнее.
Дом за спиной. Вывеска магазина в углу кадра. Характерный перекрёсток. Табличка с номером дома которую вы не заметили. Окно с видом на узнаваемое здание.
Поисковик по картинкам — Google, Яндекс — умеет сопоставлять детали фотографии с геолокацией. Особенно хорошо работает с фасадами зданий, ориентирами, уличными объектами. Исследователи Bellingcat — организация занимающаяся журналистскими расследованиями — публично показали как по одной фотографии можно определить не только город и улицу но и конкретное окно из которого был сделан снимок.
Это не экзотика. Это стандартная техника которую используют журналисты, следователи — и мошенники.
Вы фотографируетесь на фоне своего двора, своего подъезда, из своего окна. Вам кажется что это просто личное фото. Для внимательного наблюдателя — это карта.
Третий канал: поиск по лицу
Яндекс Картинки умеет искать по лицу. Загружаете фото — получаете все публичные снимки с этим человеком из соцсетей, новостей, форумов.
Если вы хоть раз публиковали фото с подписью своего имени — Яндекс свяжет анонимную фотографию с вашим именем. Дальше простой поиск по имени даёт адрес, телефон, место работы — всё что вы когда-либо упоминали онлайн.
Сервис PimEyes делает то же самое но с более широкой базой и выше точностью. Загружаете лицо — получаете все совпадения по открытым источникам в интернете. Легальный инструмент который продаётся по подписке.
Комбинация простая: фото из одного источника + поиск по лицу + поиск по имени = полный профиль человека за несколько минут.
Четвёртый канал: татуировки, одежда, детали
Это менее очевидно но работает.
Уникальная татуировка на руке. Фирменная кружка с логотипом работодателя. Бейдж на шее который вы не заметили когда фотографировались. Ежедневник с именем компании на столе за спиной.
Следователи и журналисты-расследователи работают именно так. Анализируют каждую деталь. По татуировке идентифицировали людей в десятках уголовных дел. По логотипу на фоне — устанавливали место работы.
Вы не думаете об этих деталях когда фотографируетесь. Именно на это и расчёт.
Реальные сценарии
Мошенники. Выставили вещь на Авито с фото из дома — в метаданных или на фоне ваш адрес. Приехали не только за вещью.
Сталкеры. Публикуете фото с прогулок — регулярно, в одном районе. По деталям фона составляется карта ваших маршрутов.
Работодатели. Перед собеседованием пробивают кандидата по всем открытым источникам. Анонимный аккаунт в котором вы думали что вас не найдут — связывается с реальным именем через фото лица.
Доксинг — публичная публикация личных данных человека с целью травли — почти всегда начинается с фотографии.
Что конкретно делать
Отключить геолокацию для камеры. iPhone: Настройки — Конфиденциальность — Службы геолокации — Камера — Никогда. Android: аналогично в настройках камеры или в разрешениях приложения. Тогда EXIF не будет содержать координаты.
Перед публикацией смотреть на фон. Что видно за спиной? Что на столе? Что в окне? Это занимает десять секунд но может сэкономить много неприятностей.
Удалять метаданные перед отправкой как файл. На Windows: правая кнопка на файл — Свойства — Подробно — Удаление свойств и личной информации. Или специальные приложения — ExifTool, много бесплатных.
Проверить себя. Загрузите своё фото в Яндекс Картинки — посмотрите что он находит. Это покажет насколько вы уже «открыты».
Знали что по фотографии можно так много узнать? Пробовали искать себя по лицу? Напишите в комментариях.