Trustwave開源可人臉辨識「肉搜」社交檔案的情蒐工具Social Mapper

新加坡電信（Singtel）旗下的資安業者Trustwave在本周釋出了基於人臉辨識技術的情報蒐集工具Social Mapper，可用來肉搜社交網站上的個人檔案，該工具支援了LinkedIn、Facebook、Twitter、Google+、Instagram及微博等8個社交網路平台，只要輸入名字與照片，就能蒐集這些人在上述社交網站上的個人檔案。

Trustwave自詡為一家提供合乎道德之駭客服務的公司，已成功利用Social Mapper替客戶進行了許多滲透測試與多層次模擬攻擊（Red Teaming）。

Trustwave安全分析師Jacob Wilkin表示，Social Mapper主要的優點為個人檔案自動比對及報告產生能力，隨著資安產業持續因競爭激烈與人才短缺而頭痛，滲透測試人員必須採用最有效率的工作方式。

Social Mapper的執行可分為3階段，一是目標解析，由測試人員輸入人名與照片以建立目標名單，第二步則是在各大社交網站上先以名字搜尋這些目標，再從搜尋結果的個人檔案進行照片的比對，最後則是建立一個彙整目標對象社交網站連結的CSV檔案或是更視覺化的HTML報告。

當中的第二階段所耗的時間最久，假設目標名單上有1,000個對象，比對時間可能會超過15個小時。

儘管Social Mapper看起來像是個駭客工具，但它實際上是替資安測試人員所準備的，可用來協助客戶測試企業或員工對於網釣等攻擊的防禦能力，例如建立一個假的社交網站帳號，再向目標對象申請成為好友，繼之寄出惡意連結。根據統計，社交網站用戶點選連結或開啟文件的機率是電子郵件用戶的兩倍。

Social Mapper支援LinkedIn、Facebook、Twitter、Google+、Instagram、微博、VKontakte與Douban等8個社交平台，已開放外界自GitHub下載。