
Conor Brian Fitzpatrick, le fondateur de 20 ans et l’administrateur de BreachForums, aujourd’hui disparu, a été officiellement accusé aux États-Unis de complot en vue de commettre une fraude sur les dispositifs d’accès.
S’il est prouvé coupable, Fitzpatrick, qui est passé par le surnom en ligne « pompompurin », encourt une peine maximale pouvant aller jusqu’à cinq ans de prison. Il a été arrêté le 15 mars 2023.
« La cybercriminalité victimise et vole des informations financières et personnelles de millions de personnes innocentes », a déclaré l’avocate américaine Jessica D. Aber pour le district oriental de Virginie. « Cette arrestation envoie un message direct aux cybercriminels : votre conduite abusive et illégale sera découverte et vous serez traduit en justice. »
Le développement survient quelques jours après que Baphomet, la personne qui avait repris les responsabilités de BreachForums, a fermé le site Web, invoquant des craintes que les forces de l’ordre aient pu avoir accès à son backend. Le ministère de la Justice (DoJ) a depuis confirmé avoir mené une opération de perturbation qui a entraîné la mise hors ligne de la plate-forme criminelle illicite.
BreachForums, selon Fitzpatrick, a été créé en mars 2022 pour combler le vide laissé par RaidForums, qui avait été supprimé un mois auparavant dans le cadre d’une opération internationale de maintien de l’ordre.
Il servait de place de marché pour le commerce de données piratées ou volées, y compris des informations de compte bancaire, des numéros de sécurité sociale, des outils de piratage et des bases de données contenant des informations d’identification personnelle (PII).
Dans de nouveaux documents judiciaires publiés le 24 mars 2023, il est apparu que des agents d’infiltration travaillant pour le Federal Bureau of Investigation (FBI) des États-Unis avaient acheté cinq ensembles de données proposés à la vente, Fitzpatrick agissant comme intermédiaire pour mener à bien les transactions.
Les liens de Fitzpatrick vers pompompurin provenaient de neuf adresses IP associées au fournisseur de services Verizon que Pompompurin utilisait pour accéder au compte pompompurin sur RaidForums et d’une défaillance majeure de l’OPSEC de la part du défendeur.
« Les enregistrements de RaidForums contenaient également […] une communication entre pompompurin et omnipotent [l’administrateur de RaidForums] le ou vers le 28 novembre 2020, dans laquelle pompompurin mentionne spécifiquement à omnipotent qu’il avait recherché l’adresse e-mail [email protected] et nom ‘conorfitzpatrick’ dans une base de données de données piratées de ‘ai.type' », selon l’affidavit.
Il convient de noter que l’application de clavier Android Ai.type a subi une violation de données en décembre 2017, entraînant la fuite accidentelle d’e-mails, de numéros de téléphone et d’emplacements associés à 31 millions d’utilisateurs.
D’autres données obtenues de Google révèlent que Fitzpatrick a enregistré un nouveau compte Google avec l’adresse e-mail [email protected] en mai 2019 pour remplacer [email protected], qui a été fermé vers avril 2020.
De plus, l' »ancienne » adresse e-mail [email protected] est présente sur le site de notification de violation de données légitime de la base de données Ai.type, Have I Been Pwned.
« L’adresse e-mail de récupération pour [email protected] était [email protected] », indique l’affidavit. « Les enregistrements d’abonnés pour ce compte révèlent que le compte a été enregistré sous le nom » a a « et créé le ou vers le 28 décembre 2018 à partir de l’adresse IP 74.101.151.4. »
« Les dossiers reçus de Verizon, à leur tour, ont révélé que l’adresse IP 74.101.151.4 était enregistrée pour un client portant le nom de famille Fitzpatrick à [une résidence située sur Union Avenue à Peekskill, New York]. »
L’enquête a également révélé des preuves de la connexion de Fitzpatrick à divers fournisseurs de réseaux privés virtuels (VPN) de septembre 2021 à mai 2022 pour masquer sa véritable localisation et se connecter à différents comptes, y compris le compte Google lié à [email protected].
L’une de ces adresses IP masquées a en outre été utilisée pour se connecter à un compte Zoom sous le nom de « pompompurin » avec une adresse e-mail de [email protected], révèlent des enregistrements obtenus par le FBI auprès de Zoom. Fait intéressant, Fitzpatrick aurait utilisé l’adresse e-mail [email protected] pour s’inscrire sur RaidForums.
L’agence a également découvert un compte de crypto-monnaie Purse.io qui a été enregistré avec l’adresse e-mail [email protected] et « a été financé exclusivement par une adresse Bitcoin dont pompompurin avait discuté dans des messages sur RaidForums. Les enregistrements de Purse.io ont montré que le compte a été utilisé pour acheter « plusieurs articles » et les expédier à son adresse à Peekskill.
En plus de cela, le FBI a obtenu un mandat pour obtenir la position GPS de son téléphone portable en temps réel auprès de Verizon, permettant aux autorités de déterminer qu’il était connecté à BreachForums alors que l’emplacement physique de son téléphone indiquait qu’il était chez lui.
Mais ce n’est pas tout. Dans une autre erreur OPSEC, Fitzpatrick a commis l’erreur de se connecter à BreachForums le 27 juin 2022, sans utiliser de service VPN ou le navigateur TOR, exposant ainsi la véritable adresse IP (69.115.201.194).
Sur la base des données reçues d’Apple, la même adresse IP a été utilisée pour accéder au compte iCloud environ 97 fois entre le 19 mai 2022 et le 2 juin 2022.
« Fitzpatrick a utilisé les mêmes VPN et adresses IP pour se connecter au compte de messagerie [email protected], au compte Conor Fitzpatrick Purse.io, au compte pompompurin sur RaidForums et au compte pompompurin sur BreachForums, entre autres comptes », a déclaré John du FBI. dit Longmire.
Au lendemain de la publication de l’affidavit, Baphomet a déclaré « vous ne devriez faire confiance à personne pour gérer votre propre OPSEC », ajoutant « je n’ai jamais fait cette hypothèse en tant qu’administrateur, et personne d’autre ne devrait l’avoir non plus ».