Alors que les consommateurs sont généralement ceux qui craignent que leurs informations ne soient exposées lors de violations de données, c’est maintenant au tour du pirate, car la base de données du célèbre forum sur la cybercriminalité Breached est en vente et les données des membres sont partagées avec Have I Been Pwned.

Hier, le service de notification de violation de données Have I Been Pwned a annoncé que les visiteurs peuvent vérifier si leurs informations ont été exposées lors d’une violation de données du forum sur la cybercriminalité Breached.

« En novembre 2022, le forum de piratage bien connu » BreachForums « a lui-même été piraté. Plus tard l’année suivante, l’opérateur du site Web a été arrêté et le site saisi par les forces de l’ordre », lit-on dans l’annonce du HIBP.

« La violation a exposé 212 000 enregistrements, y compris des noms d’utilisateur, des adresses IP et e-mail, des messages privés entre les membres du site et des mots de passe stockés sous forme de hachages argon2. »

Breached était un grand forum de piratage et de fuite de données connu pour héberger, divulguer et vendre des données volées à des entreprises, des gouvernements et des organisations piratés dans le monde entier.

Après que le FBI ait arrêté l’administrateur du site Pompompurin en mars 2023, l’administrateur restant, Baphomet, a décidé de fermer le forum après avoir estimé que les forces de l’ordre avaient également accès aux serveurs du site.

Baphomet a ensuite lancé un nouveau clone de Breached Forums (appelé dans cet article BFv2) avec un autre vendeur de violation de données connu sous le nom de Shiny Hunters.

Un trésor de données
La base de données Breached est actuellement vendue par un acteur menaçant du nom de « breached_db_person », qui a déclaré à Breachtrace avoir partagé la base de données avec Have I Been Pwned pour prouver son authenticité aux acheteurs potentiels.

Breachtrace a également confirmé que les comptes piratés connus sont répertoriés dans le tableau des membres partagés.

L’administrateur précédent de Breached, Baphomet, a également confirmé l’authenticité de la base de données, avertissant que sa vente fait partie d’une « campagne continue visant à détruire la communauté ».

« Non seulement la base de données a été soumise à HIBP, mais elle est activement vendue/divulguée par au moins une personne – même en essayant de le faire sur notre forum », a averti Baphomet.

« Pour cette raison, je suis sûr que nous allons le voir public assez tôt. À en juger par les 212 000 utilisateurs, il s’agit probablement d’une base de données plus ancienne des mois avant la fermeture de BFv1, vu que ma dernière sauvegarde du forum compte 336 000 utilisateurs. « 

Outre les forces de l’ordre, le vendeur a déclaré que seuls eux, Baphomet et Pompompurin étaient en possession de la base de données.

L’acteur de la menace dit qu’il vend la base de données Breached à une seule personne pour 100 000 à 150 000 dollars et qu’elle contient un instantané de l’ensemble de la base de données pris le 29 novembre 2022.

Breachtrace a été informé que la base de données fait 2 Go et contient toutes les tables, y compris celles des messages privés, des transactions de paiement et de la base de données des membres.

breached-database-structure
Tables SQL du forum violées

Bien que le FBI ait déjà révélé avoir eu accès à la base de données Breached après avoir saisi les serveurs, ces données peuvent toujours être précieuses pour les chercheurs en cybersécurité et potentiellement d’autres acteurs de la menace.

Le vendeur, violationd_db_person, a déclaré à Breachtrace que les tables de messages privés contiennent de nombreuses informations incriminantes sur les membres du forum et que la base de données des « membres » contient des adresses IP montrant que de nombreux acteurs de la menace ne suivent pas une bonne sécurité opérationnelle en utilisant des adresses IP résidentielles.

La table des messages privés est précieuse car elle contient des messages envoyés en privé entre les différents membres du forum, révélant potentiellement des informations sur les attaques passées, les identités et d’autres informations utiles.

Des exemples du tableau des paiements ont été partagés avec Breachtrace et contiennent des informations sur les paiements effectués pour acheter des rangs de forum (niveaux d’adhésion avec des avantages supplémentaires) et des crédits (une forme de devise utilisée sur le forum).

Ces paiements ont été traités via CoinBase Commerce ou Sellix, les transactions Coinbase comprenant des liens vers des confirmations de commande contenant des informations sensibles, telles que des adresses de crypto-monnaie et des identifiants de paiement Coinbase.

Ces données de crypto-monnaie peuvent être utiles aux sociétés d’analyse de blockchain, qui peuvent utiliser les adresses de crypto-monnaie pour relier les acteurs de la menace à l’activité criminelle.

Achat du rang du forum Breached ‘God’ via Coinbase

Breached et ses membres ont été responsables d’un large éventail de piratages, de tentatives d’extorsion, d’attaques de ransomwares et de fuites de données volées pour de nombreuses entreprises. Ces violations incluent DC Health Link, Twitter, RobinHood, Acer, Activision et bien d’autres.

Par conséquent, les messages privés pourraient être inestimables pour les chercheurs, le vendeur déclarant avoir déjà été contacté par des entreprises de cybersécurité demandant une copie des données pour leurs propres recherches.

D’autres acteurs de la menace manifestent également leur intérêt, le vendeur affirmant avoir reçu une offre de 250 000 dollars.

Bien qu’il soit trop tôt pour dire si la base de données sera finalement vendue, même si c’est le cas, il ne serait pas surprenant que l’intégralité de la base de données soit divulguée gratuitement à l’avenir.

Il est courant que les violations de données soient d’abord achetées en privé, puis publiées plus tard pour accroître la réputation parmi la communauté des voleurs de données.

Tout récemment, le forum de violation de données RaidForums saisi a également subi une violation de données, et le nouveau clone BreachedForums (BFv2) a vu sa base de données divulguée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *