TL;DR
Sherlock là tool OSINT CLI mã nguồn mở (MIT) viết bằng Python, hunt một username trên 400+ mạng xã hội trong vài giây — không cần API key, không cần tài khoản. Phiên bản hiện tại v0.16.0 ra ngày 15/9/2025, được Bellingcat đưa vào toolkit điều tra chính thức. 82k+ sao GitHub, 280 contributor, chạy được trên macOS / Linux / Windows.
Sherlock là gì & cách hoạt động
Sherlock không hack, không bypass privacy. Nó dựa vào một sự thật đơn giản: hầu hết mạng xã hội tạo URL profile theo dạng site.com/username. Sherlock chỉ việc dựng URL kỳ vọng cho từng site trong danh sách 400+, gửi HTTP request, và đọc response để xác định username đó đã bị claim hay chưa.
Vì chỉ probe URL công khai, Sherlock không cần API key, không login, không scrape nội dung. Đầu ra là danh sách các URL profile tồn tại — investigator tự verify thủ công. Cài 1 lệnh, chạy trong terminal:
pipx install sherlock-project
sherlock hackerman1337Vì sao đáng quan tâm
Trước Sherlock, một OSINT analyst muốn dò xem username johnsmith tồn tại ở đâu sẽ phải mở 50–100 tab trình duyệt, gõ tay từng URL, đọc từng trang 404. Mất hàng giờ và không scale được. Sherlock biến công việc đó thành một dòng lệnh duy nhất chạy song song trên 400+ site, kết quả ra trong dưới một phút (tùy mạng).
Đây là lý do Bellingcat — tổ chức điều tra báo chí mã nguồn mở nổi tiếng nhất thế giới — đưa Sherlock vào Online Investigation Toolkit chính thức. Nó cũng nằm sẵn trong Kali Linux như một phần của bộ công cụ pentest.
Technical facts
| Property | Value |
|---|---|
| Phiên bản mới nhất | v0.16.0 (15/9/2025) |
| Ngôn ngữ | Python 3.9+ |
| Số platform hỗ trợ | 400+ |
| License | MIT |
| GitHub stars | 82k+ |
| Forks | 9.6k |
| Contributors | 280 |
| Output formats | txt, CSV, XLSX, folder, custom |
| OPSEC | Tor (--tor, --unique-tor), proxy (--proxy) |
| Wildcard | {?} → _ | - | . |
| Per-site timeout | 60s |
Cài qua pipx, pip, uv, docker run sherlock/sherlock, apt install sherlock (Kali), brew (macOS), dnf install sherlock-project (Fedora), hoặc Apify cloud actor — tổng cộng 6+ cách deploy.
Sherlock vs các tool tương tự
| Tool | Số platform | Ưu thế | Hạn chế |
|---|---|---|---|
| Sherlock | 400+ | Nhanh, MIT, không cần API key, OPSEC tốt | Chỉ exact match, không phân tích nội dung |
| WhatsMyName | ~600 (web) | Coverage rộng hơn ở regional sites | Web UI, không phải CLI native |
| Maigret | ~3000 (fork mở rộng) | Trích xuất profile data, ID hash | Nặng hơn, khó setup hơn |
| Sherlockeye (SaaS) | ~400 | UI đẹp, có data enrichment | Freemium, target list upload lên server bên thứ ba |
Bellingcat khuyến nghị chạy Sherlock + WhatsMyName song song để cover được cả global lẫn regional sites — không có tool nào đơn lẻ là đủ.
Use cases thực tế
- OSINT & báo chí điều tra: Bellingcat dùng để map digital footprint của target trong các điều tra mã nguồn mở.
- Red team / pentest: giai đoạn footprinting — xác định target có account ở đâu (GitHub, GitLab, Docker Hub, PyPI) để plan social engineering hay supply-chain attack.
- Threat intelligence: track alias của threat actor xuyên forum, code host, messenger.
- Privacy self-audit: tự chạy trên username của mình để xem mình lộ những đâu, từ đó delete hoặc đổi handle.
- Background check: verify ứng viên hoặc đối tác (cần consent + tuân thủ luật).
Limitations & pricing
Giá: 100% miễn phí, mã nguồn mở MIT. Apify cloud actor cũng free trong giới hạn nền tảng. Chỉ có third-party SaaS như Sherlockeye là tính phí.
Hạn chế cần biết trước khi tin kết quả:
- Chỉ exact match. Không có fuzzy / regex. Nếu target dùng nhiều biến thể alias, phải chạy nhiều lần. Wildcard duy nhất là
{?}thay cho_ - .. - Không retrieve nội dung. Chỉ confirm URL tồn tại — không đọc được profile, không bypass auth.
- Coverage gap: Facebook và nhiều dating app chặn enumeration tự động. Discord coverage tối thiểu vì username Discord không có public URL.
- False positives/negatives: trang 404 mơ hồ → báo found nhầm; site đổi cấu trúc → miss profile thật. Luôn verify thủ công kết quả quan trọng.
- Rate limit: 60s timeout/site. Chạy qua Tor hoặc 1 proxy → chậm + dễ dính CAPTCHA. Scan lớn lặp lại cần xoay proxy.
- Không correlate identity. Sherlock không nói được
johnsmithtrên GitHub vàjohnsmithtrên Reddit có phải cùng một người — đó là việc của investigator. - Không có official REST API. Bản experimental đã abandoned từ 2021.
Pháp lý & đạo đức: Sherlock chỉ truy cập dữ liệu công khai, nhưng vẫn sinh traffic tự động mà ToS một số site cấm. Trách nhiệm verify đúng người và dùng hợp pháp thuộc về người chạy.
What's next
Project rất active — commit gần nhất chỉ vài tuần trước thời điểm này. CI workflow đã thêm test cho Python 3.14 và free-threaded Python 3.14t, dấu hiệu rõ về future-proofing. Site list tiếp tục được cleanup; Docker build tests được thêm vào pipeline. Không có dấu hiệu khôi phục REST API chính thức — recommended cách dùng vẫn là CLI cục bộ hoặc cloud actor Apify.
Nếu bạn làm OSINT, pentest, hay đơn giản muốn audit chính dấu vết của mình — đây là 30 giây đáng đầu tư:
pipx install sherlock-project
sherlock your_username --csvNguồn: GitHub sherlock-project/sherlock, sherlockproject.xyz, Bellingcat Toolkit, Kali Linux Tools.
