Utilizando Pepe, puedes recopilar información sobre las direcciones de correo electrónico filtradas en Pastebin. ¡Aprende cómo!
Una gran cantidad de credenciales se publican a diario en Pastebin.com. Pepe.py analiza estos volcados para obtener información sobre otras posibles cuentas asociadas con una dirección de correo electrónico en particular.
1. Introducción a Pepe
El script analiza el correo electrónico de Pastebin: la contraseña se vuelca y recopila información sobre cada dirección de correo electrónico. Es compatible con Google, Trumail, Pipl, FullContact y HaveIBeenPwned. Además, te permite enviar un correo informativo a la persona sobre su contraseña filtrada. Al final, toda la información se almacena en Elasticsearch para una mayor exploración.
Por ahora, la notificación funciona cuando encuentra coincidencias en FullContact y, a continuación, le envía una dirección de correo electrónico y cuentas de redes sociales asociadas.
2. Requisitos
- Python 3
- FullContact API https://www.fullcontact.com/developer/
- Pipl API https://pipl.com/api/
- HaveIBeenPwned
- SafePush (para notificación – opcional – En curso) https://www.pushsafer.com/
- Trumail https://trumail.io/
- Gmail account (enviando correos electrónicos)
- Elasticsearch (opcional)
3. Instalación de pepe
Primero instalamos los requerimientos necesarios con el siguiente comando:
pip install -r requirements.txt
Posteriormente, en el archivo de configuración (Config), colocamos las API que conseguiremos registrándonos en FullContact, Pipl y SafePush.
4. Uso y ejemplos
Para ejecutar el comando de ayuda que nos muestra los parámetros que podemos incluir, escribe:
python pepe.py -h
- Ejecutar en modo interactivo: cada correo electrónico (del archivo paste.txt) se verifica individualmente y se ejecuta un módulo específico.
python pepe.py --file paste.txt --interactive --blacklist
- Ejecutar en Modo no interactivo: cuando solo los módulos seleccionados se ejecutan contra direcciones de correo electrónico.
python pepe.py --file paste.txt --blacklist --modules hibp google fullcontact trumail --elasticsearch
5. Conclusión
Es bastante común tener una contraseña que en realidad significa algo para alguien. Es como un juego de gato y ratón entre contraseña y hacker. Puede ser el nombre del niño, el actor favorito de la telenovela o el jugador de ajedrez. Las personas generalmente no son conscientes de las consecuencias de la simplicidad de las contraseñas que tienen.
- Entonces, para ti: Esta es la mejor forma de crear una contraseña segura
- Ah, esto también: pwnedOrNot: Buscar contraseñas de cuentas comprometidas
Por último, cuando descubres la contraseña de alguien, ¿sigue siendo #OSINT o #hacking?. Déjame tus pensamientos en los comentarios y no olvides compartir este artículo :’)