Студенты Гарвардского университета Пол Лискер и Майкл Роуз провели исследования, в ходе которого выяснили, что некоторые торговцы, которые ведут бизнес на подпольных сайтах в даркнете, забывают удалять с фотоснимков своих товаров данные EXIF. С помощью этой информации можно определять местоположение торговцев.
Лискер и Роуз создали программу для сканирования изображений из проекта Black-Market Archives, который в исследовательских целях сохраняет контент подпольных торговых сайтов. В Black-Market Archives присутствует информация о 123 подобных ресурсах, которая была собрана в период с 2013 по 2015 год. Всего в архиве содержится более 44 миллионов файлов, общий объем которых составляет 1,5 терабайта.
Используя скрипты Bash и Python, исследователи провели анализ содержимого архива и выделили из него 7522284 фотоснимка. После того, как были отсеяны дубликаты, остался 223471 фотография, в том числе 2276 изображений, содержащих геолокационную информацию. После последнего отсева дубликатов Лискер и Роуз заполучили 229 изображений, где киберпреступники забыли удалить метаданные, которые дают возможность определять как модель фотокамеры, так и точные координаты GPS.
В результате исследования выяснилось, что многие торговцы не знают об угрозах, которые несет для них публикация таки снимков, и размещают фото с компрометирующей их информацией.
Также исследователи обнаружили интересную особенность изображений, опубликованных на подпольно торговом сайте Agora. Экспертами обнаружены 963 фотоснимка с GPS-координатами, которые датированы с 1 января по 18 марта 2014 года. Лискер и Роуз считают, что это может быть связано с мерами, которые были предприняты на стороне сервера администрацией Agora.