Les informations sur les membres privés du forum de piratage BreachForums v1 de 2022 ont été divulguées en ligne, permettant aux acteurs de la menace et aux chercheurs d’avoir un aperçu de ses utilisateurs.
Plusieurs forums ont fonctionné sous le nom de BreachForums, tous consacrés à la création d’une communauté de collectionneurs et d’acteurs de la menace qui échangent, vendent et divulguent des données volées à des entreprises piratées.
Le premier forum sur les violations de données à prendre de l’importance était RaidForums, et après que le FBI l’ait saisi en 2022, un acteur de la menace connu sous le nom de Pompompurin a lancé un remake appelé BreachForums (alias Breached) pour combler le vide.
Ce forum a rapidement pris de l’importance, les acteurs de la menace divulguant fièrement d’énormes quantités de données volées, y compris des données du fournisseur de soins de santé du Congrès américain DC Health Link, RobinHood et des données Twitter divulguées à l’aide d’une API exposée.
Cependant, peu de temps après la fuite des données de DC Health Link, le FBI a arrêté le propriétaire du forum, Conor Fitzpatrick, alias Pompompurin, en mars 2023.
Peu de temps après, plusieurs instances du forum ont été créées et saisies par les forces de l’ordre. La dernière incarnation a été lancée par ShinyHunters (maintenant transmise aux nouveaux administrateurs) et est toujours en activité aujourd’hui.
En raison de plusieurs sites utilisant le même nom, les données récemment divulguées proviennent de ce que nous appellerons BreachForums 1.0, le site créé initialement par Fitzpatrick en 2022 et finalement saisi par le FBI en 2024.
Fuite de données BreachForums 1.0
La semaine dernière, un acteur de la menace bien connu nommé Emo a divulgué les informations personnelles de 212 414 membres de BreachForums 1.0.
Selon Emo, les données proviennent directement de Fitzpatrick, qui aurait tenté de les vendre en juin 2023 pour 4 000 dollars alors qu’il était en liberté sous caution. Emo dit que les données ont finalement été achetées par trois acteurs de la menace.
Fitzpatrick a de nouveau été arrêté en janvier 2024 pour avoir violé les termes de ses conditions de libération provisoire, notamment en utilisant un ordinateur non surveillé et un VPN. On ne sait pas si cela était lié à sa tentative de vente des données de BreachForums.
En juillet 2023, une personne nommée « breached_db_person » a tenté de vendre la base de données du forum pour 100 000 à 150 000 dollars sur le forum de piratage.
Le vendeur a également partagé les données à vendre avec Troy Hunt, qui a déclaré à Breachtrace qu’il incluait les mêmes données divulguées par Emo et d’autres enregistrements de base de données. Hunt a ensuite ajouté les informations au service de notification de violation de données Have I Been Pwned.
Emo a déclaré à Breachtrace que ces données provenaient d’une sauvegarde de la base de données BreachForums de novembre 2022, la dernière téléchargée sur le MÉGA compte de Fitzpatrick.
Les données divulguées contiennent l’identifiant d’utilisateur d’un membre du forum, le nom de connexion, l’adresse e-mail, l’adresse IP d’enregistrement et la dernière adresse IP utilisée lors de la visite du site.
Breachtrace a analysé la base de données et vérifié qu’elle contient les informations exactes de nombreux chercheurs qui avaient des comptes sur les forums de violation d’origine.
Ces données semblent être une exportation manuelle, car elles ne sont pas au format de base de données du forum MyBB mais plutôt exportées sous forme de valeurs séparées par des tabulations.
Bien qu’il soit probable que la base de données soit déjà entre les mains des forces de l’ordre après la saisie du forum, ces données pourraient toujours être utiles pour les chercheurs en sécurité qui établissent généralement des profils d’acteurs de la menace.
En utilisant les adresses e-mail et les adresses IP divulguées, les chercheurs et les forces de l’ordre peuvent relier les membres de BreachForums à d’autres sites, à leur emplacement géographique et potentiellement à leurs vrais noms.
La base de données RaidForums, qui contenait les données de 478 000 membres, a également été divulguée en ligne en mai 2023.