Vipère de données, une startup de sécurité qui donne accès à quelque 15 milliards de noms d’utilisateur, mots de passe et autres informations exposés dans plus de 8 000 violations de sites Web, a elle-même été piratée et sa base de données d’utilisateurs publiée en ligne. Les pirates affirment également qu’ils vendent sur le dark web environ 2 milliards d’enregistrements Data Viper rassemblés à partir de nombreuses violations et fuites de données, y compris des données de plusieurs entreprises qui ne savent probablement pas qu’elles ont été piratées ou qui n’ont pas encore divulgué publiquement une intrusion.
La brèche apparente à St. Louis, Mo. Data Viper offre un récit édifiant et tordu de ce qui peut arriver lorsque des chercheurs en sécurité cherchant à recueillir des renseignements sur des activités illégales en ligne se rapprochent trop de leur proie ou perdent de vue leur prétendue mission. L’incident met également en évidence la zone souvent trouble entre ce qui est légal et éthique dans la lutte contre la cybercriminalité.
Data Viper est une idée originale de Vinny Troïaun chercheur en sécurité qui dirige une société de renseignements sur les cybermenaces appelée Sécurité du lion de nuit. Depuis sa création en 2018, Data Viper s’est présenté comme une « plate-forme de renseignements sur les menaces conçue pour fournir aux organisations, aux enquêteurs et aux forces de l’ordre un accès à la plus grande collection de canaux de piratage privés, de pâtes, de forums et de bases de données piratées sur le marché ».
De nombreuses entreprises privées vendent l’accès à ces informations à des clients contrôlés – principalement des responsables de l’application des lois et des experts antifraude travaillant dans des rôles de sécurité dans de grandes entreprises qui peuvent payer la facture de ces services souvent coûteux.
Data Viper a cherché à se différencier en annonçant « l’accès à des données de violation privées et non divulguées ». Comme BreachTrace l’a noté dans une histoire de 2018, Troia a reconnu se faire passer pour un acheteur ou un vendeur sur divers forums du dark web comme un moyen d’acquérir des bases de données anciennes et nouvellement piratées auprès d’autres membres du forum.
Mais cette approche a peut-être échoué au cours du week-end, lorsque quelqu’un a posté sur le web profond un lien vers un « e-zine » (magazine électronique) décrivant le piratage de Data Viper et renvoyant à la base d’utilisateurs de Data Viper. L’affiche anonyme alléguait qu’il était à l’intérieur de Data Viper depuis des mois et qu’il avait exfiltré des centaines de gigaoctets de données piratées du service sans préavis.
L’intrus a également lié à plusieurs dizaines de nouveaux fils de vente sur le site Web sombre Marché de l’Empireoù ils annoncent la vente de centaines de millions de détails de compte provenant de dizaines de bases de données de sites Web divulguées ou piratées que Data Viper aurait acquises via des échanges avec d’autres sur des forums de cybercriminalité.

Une publication en ligne par les attaquants qui ont fait irruption dans Data Viper.
Certaines des bases de données à vendre sont liées à des violations connues et signalées publiquement. Mais d’autres correspondent à des entreprises qui ne semblent pas avoir divulgué d’incident de sécurité. En tant que tel, BreachTrace ne nomme pas la plupart de ces sociétés et tente actuellement de vérifier la validité des revendications.
BreachTrace a parlé avec Victor Hôle PDG de Fivestars.com, une entreprise qui aide les petites entreprises à gérer des programmes de fidélisation de la clientèle. Les pirates ont affirmé qu’ils vendaient 44 millions de disques provenant de Fivestars l’année dernière. Ho a déclaré qu’il n’était au courant d’aucun incident de sécurité des données et qu’aucun événement de ce type n’avait été signalé à son entreprise, mais que Fivestars enquête actuellement sur les allégations. Ho a admis que le nombre d’enregistrements mentionnés dans le fil de vente du dark web correspondait à peu près au nombre d’utilisateurs de son entreprise l’année dernière.
Mais le 3 août 2019, le compte Twitter de Data Viper noté avec désinvolture, « FiveStars – 44 millions d’enregistrements violés ajoutés – y compris le nom, l’e-mail, la date de naissance. » Le message, enfoui parmi une multitude de déclarations similaires sur d’énormes caches d’informations personnelles piratées ajoutées à Data Viper, n’a guère retenu l’attention et n’a suscité qu’un seul retweet.
JOUEURS GNOSTIQUE, CHASSEURS BRILLANTS
Atteint par TwitterTroia a reconnu que son site avait été piraté, mais a déclaré que les attaquants n’avaient accès qu’au serveur de développement de Data Viper, et non aux systèmes de production plus critiques qui alimentent le service et qui hébergent son index d’informations d’identification compromises.
Troia a déclaré que les personnes responsables de la compromission de son site sont les mêmes personnes qui ont piraté les bases de données qu’elles vendent maintenant sur le dark web et qui prétendent avoir obtenu exclusivement de son service.
De plus, Troia croit que l’attaque était une frappe préventive en réponse à un discours qu’il donne à Boston cette semaine : Le 29 juin, Troia tweeté qu’il prévoit d’utiliser le discours pour exposer publiquement l’identité des pirates, qu’il soupçonne d’être à l’origine d’un grand nombre de cambriolages de sites Web au fil des ans.
Les informations d’identification piratées ou divulguées sont prisées par les cybercriminels qui pratiquent le « trucage d’informations d’identification », une forme endémique de cybercriminalité qui réussit lorsque les gens utilisent les mêmes mots de passe sur plusieurs sites Web. Armés d’une liste d’adresses e-mail et de mots de passe d’un site piraté, les attaquants automatiseront ensuite les tentatives de connexion en utilisant ces mêmes informations d’identification sur des centaines d’autres sites.
La réutilisation des mots de passe devient d’un ordre de grandeur plus dangereux lorsque les développeurs de sites Web se livrent à cette pratique dangereuse. En effet, un article de janvier 2020 sur le blog Data Viper suggère que le credential stuffing est exactement la façon dont le groupe dont il envisage de parler dans sa prochaine conférence a commis des compromis sur son site Web.
Dans ce message, Troia a écrit que le groupe de hackers, connu sous le nom de « Joueurs Gnostiques » et « Chasseurs brillants», a pillé d’innombrables bases de données de sites Web en utilisant à peu près la même méthode : cibler les développeurs à l’aide d’attaques de bourrage d’informations d’identification pour se connecter à leur GitHub comptes.
« Pendant leur séjour, ils pillaient les référentiels de code, à la recherche de clés AWS et d’informations d’identification similaires qui étaient enregistrées dans les référentiels de code », a écrit Troia.
Troia a déclaré que l’intrusion dans son service n’était pas le résultat de la réutilisation des informations d’identification, mais plutôt parce que son développeur avait accidentellement laissé ses informations d’identification exposées dans des documents expliquant comment les clients peuvent utiliser l’interface de programmation d’application de Data Viper.
« Je dirai que l’ironie de la façon dont ils sont entrés est absolument incroyable », a déclaré Troia. « Mais tout ce qu’ils prétendent vendre est [databases] ils vendaient déjà. Tout cela vient des joueurs gnostiques. Rien de tout cela ne vient de moi. C’est tout pour le spectacle d’essayer de discréditer mon rapport et mon discours.
Troia a déclaré qu’il ne savait pas combien de bases de données que Gnostic Players prétendait avoir obtenues de son site étaient des hacks légitimes ou même encore publics.
« En ce qui concerne les rapports publics sur les bases de données, une grande partie de cela figurera dans mon rapport mercredi », a-t-il déclaré. « Tous mes ‘rapports’ vont au FBI. »
FUMÉE ET MIROIRS
Le e-zine produit par les pirates de Data Viper a affirmé que Troia utilisait de nombreux surnoms sur divers forums de cybercriminalité, y compris le surnom « Exabyte » sur OGUsersun forum étroitement associé aux piratages de comptes.
Dans une conversation avec BreachTrace, Troia a reconnu que cette attribution d’Exabyte était correcte, notant qu’il était heureux de l’exposition car cela a encore renforcé ses soupçons sur qui était responsable du piratage de son site.
Ceci est intéressant car certaines des bases de données piratées que les intrus prétendaient avoir acquises après avoir compromis Data Viper correspondent à des découvertes créditées à Troia dans lesquelles des entreprises ont par inadvertance exposé des dizaines de millions de détails d’utilisateurs en les laissant publiquement accessibles en ligne sur des services cloud comme EC2 d’Amazon.
Par exemple, en mars 2019, Troia a déclaré qu’il a co-découvert une base de données accessible au public contenant 150 gigaoctets de données marketing en clair – dont 763 millions d’adresses e-mail uniques. Les données avaient été exposées en ligne par Vérifications.ioune entreprise de validation d’e-mails.
Le 12 octobre 2019, un nouvel utilisateur nommé Exabyte s’est enregistré sur RaidForums — un site dédié au partage de bases de données piratées et d’outils pour perpétrer des attaques de credential stuffing. Ce compte Exabyte a été enregistré moins de deux semaines après que Troia a créé son identité Exabyte sur OGUsers. L’Exabyte sur RaidForums a publié le 26 décembre 2019 qu’il offrait à la communauté une sorte de cadeau de Noël tardif : 200 millions de comptes ont fui de Verifications.io.
« Verifications.io est enfin là ! » Exabyte enthousiasmé. « Cette version contient 69 des 70 bases de données originales de verifications.io, totalisant plus de 200 millions de comptes. »

Offre d’Exabyte de la base de données Verifications.io sur RaidForums.
En mai 2018, Troia figurait dans filaire.com et de nombreuses autres publications après avoir découvert que la firme d’intelligence commerciale Apollon laissé 125 millions d’adresses e-mail et neuf milliards de points de données exposés publiquement dans un service cloud. Comme je l’ai signalé en 2018, avant cette divulgation, Troia avait demandé mon aide pour identifier la source des données exposées, dont il avait initialement conclu à tort qu’elles avaient été exposées par LinkedIn.com. Au lieu de cela, Apollo avait récupéré et rassemblé les données de nombreux sites différents, y compris LinkedIn.
Puis, en août 2018, quelqu’un utilisant le surnom de « Soundcard » a publié un fil de vente sur le défunt Déchirer, foutre une branlée forum du dark web offrant les informations personnelles de 212 millions d’utilisateurs de LinkedIn en échange de deux bitcoins (alors l’équivalent d’environ 12 000 USD). Incroyablement, Troia m’avait déjà dit qu’il était la personne derrière cette identité Soundcard sur le forum Kickass.

Soundcard, alias Troia, proposant de vendre ce qu’il prétendait être toutes les données des utilisateurs de LinkedIn, sur le forum Dark Web Kickass.
Interrogé sur les publications d’Exabyte sur RaidForums, Troia a déclaré qu’il n’était pas le seul à avoir accès aux données de Verifications.io et que l’étendue de ce qui se passait deviendrait bientôt plus claire.
« Plus d’une personne peut avoir le même nom » Exabyte « , a déclaré Troia. « Tant de choses des deux côtés que vous voyez sont de la fumée et des miroirs. »
De la fumée et des miroirs, en effet. Il est tout à fait possible que cet incident soit une cascade de relations publiques élaborée et cynique de Troia pour piéger en quelque sorte les méchants. Troia a récemment publié un livre sur la chasse aux menaces, et à la page 360 (PDF), il décrit comment il a précédemment organisé un piratage contre son propre site, puis s’est vanté de la fausse intrusion sur les forums de cybercriminalité dans le but de recueillir des informations sur des cybercriminels spécifiques qui ont pris le appât – les mêmes personnes, soit dit en passant, affirme-t-il sont à l’origine de l’attaque sur son site.
EAUX TROUBLEES
Bien que le commerce de bases de données piratées ne soit techniquement pas illégal aux États-Unis, il est juste de dire que le Département américain de la justice (DOJ) voit d’un mauvais œil ceux qui exploitent des services commercialisés auprès des cybercriminels.
En janvier 2020, les autorités américaines s’est emparé du domaine de WeLeakInfo.com, un service en ligne qui a vendu pendant trois ans l’accès aux données piratées d’autres sites Web. Deux hommes ont été arrêtés dans le cadre de cette saisie. En février 2017, le ministère de la Justice a démantelé FuiteSourceun service qui fonctionnait de manière similaire à WeLeakInfo.
Le MJ directives récemment publiées (PDF) pour aider les sociétés de renseignements sur les menaces à éviter le risque de poursuites lors de la collecte et de l’achat de données provenant de sources illicites en ligne. Les directives suggèrent que certains types de collecte de renseignements – en particulier l’échange d’informations mal acquises avec d’autres sur des forums criminels comme moyen d’accéder à d’autres données ou d’augmenter son statut sur le forum – pourraient être particulièrement problématiques.
« Si un praticien devient un membre actif d’un forum et échange des informations et communique directement avec d’autres membres du forum, le praticien peut rapidement s’empêtrer dans une conduite illégale, s’il n’est pas prudent », lit-on dans le document du DOJ de février 2020.
Le dossier continue :
« Il peut être plus facile pour un praticien d’infiltration d’extraire des informations de sources sur le forum qui ont appris à faire confiance à la personnalité du praticien, mais développer la confiance et établir de bonne foi en tant que co-criminel peut impliquer d’offrir des informations, des services ou des outils utiles qui peuvent être utilisé pour commettre des crimes.
« S’engager dans de telles activités pourrait bien entraîner une violation du droit pénal fédéral. La question de savoir si un crime a été commis dépend généralement des actions et de l’intention d’un individu. Un praticien doit éviter de faire quoi que ce soit qui favorise les objectifs criminels des autres sur les forums. Même si le praticien n’a pas l’intention de commettre un crime, aider d’autres personnes engagées dans une conduite criminelle peut constituer l’infraction fédérale d’aide et d’encouragement.
« Un individu peut être reconnu coupable d’avoir aidé et encouragé une infraction fédérale s’il accomplit un acte affirmatif – même un acte qui est licite en soi – qui est dans la poursuite du crime et mené avec l’intention de faciliter la commission du crime .”