На конференции Black Hat был представлен инструмент Datasploit, позволяющий атакующему автоматизировать поиск различных данных о жертве. Datasploit предназначен для атак, которые строятся на базе социальной инженерии, и в первую очередь адресован пентестерам, но разработчики инструмента сделали его доступных для всех желающих.
Исходные коды Datasploit уже опубликованы на GitHub, так что воспользоваться им может любой. Инструмент написан на Python и работает с MongoDb, Django, Celery и RabbitMq. Авторами Datasploit выступили Шубхам Митталь (Shubham Mittal) из компании NotSoSecure, разработчик eBay Нутан Кумар Панда (Nutan Kumar Panda), а также Судхансу Чоухан (Sudhanshu Chauhan) из Octogence.
Принцип работы Datasploit прост: достаточно задать лишь базовые данные о жертве, такие как имя, домен или email-адрес, и запустить поиск. Инструмент поможет найти в океане информации из интернета номера телефонов, почтовые адреса и данные об аккаунтах заданного человека. В рамках демонстрации на Black Hat также было показано, как Datasploit находит любые ключи API, старые непропатченные сабдомены, а также возможные логины от принадлежащих жертве доменов.
В будущем разработчики планируют добавить в Datasploit такие функции, как данные о геолокации, собираются переработать интерфейс, сделав его «чище» и интегрировать свое решение с другими популярными хакерскими тулзами: Maltego и Burp Suite.
