Une base de données pour les célèbres forums de piratage RaidForums a été divulguée en ligne, permettant aux acteurs de la menace et aux chercheurs en sécurité d’avoir un aperçu des personnes qui fréquentaient le forum.
RaidForums était un forum de piratage et de fuite de données très populaire et notoire, connu pour héberger, divulguer et vendre des données volées à des organisations piratées.
Les acteurs de la menace qui fréquentaient le forum pouvaient pirater des sites Web ou accéder à des serveurs de bases de données exposés pour voler des informations sur les clients. Les acteurs de la menace ont ensuite tenté de vendre les données à d’autres acteurs de la menace, qui les utilisent pour leurs campagnes, telles que des attaques de phishing, des escroqueries à la crypto-monnaie ou la distribution de logiciels malveillants.
Dans de nombreux cas, si les données n’étaient pas vendues ou si un certain temps s’était écoulé, les données volées seraient divulguées gratuitement sur RaidForums pour se faire une réputation au sein de la communauté.
En avril 2022, le site Web et l’infrastructure de RaidForums ont été saisis dans le cadre d’une opération internationale d’application de la loi, avec l’arrestation de l’administrateur du site, Omnipotent, et de deux complices.
Après la fermeture de Raidforums, les utilisateurs ont afflué vers un nouveau forum appelé Breached pour continuer à échanger des bases de données volées. Cependant, Breached a fermé ses portes en mars 2023 après que son fondateur et propriétaire, Pompompurin, a été arrêté par le FBI, et l’autre administrateur du site s’est inquiété du fait que les forces de l’ordre avaient accès à leurs serveurs.
La base de données RaidForums divulguée en ligne
Plus tôt ce mois-ci, un forum appelé « Exposed » a été lancé, visant à combler le vide laissé par la fermeture de Breached, et il est rapidement devenu populaire.
Aujourd’hui, l’un des administrateurs du site, « Impotent », a divulgué la base de données des membres de RaidForums, exposant une mine d’informations à d’autres acteurs de la menace, à des chercheurs et, potentiellement, aux forces de l’ordre.
Breachtrace a vu les données divulguées et consiste en un seul fichier SQL pour la table ‘mybb_users’ utilisée par le logiciel de forum RaidForums pour stocker les informations d’enregistrement.
Ce tableau contient les informations d’inscription de 478 870 membres RaidForums, y compris leurs noms d’utilisateur, adresses e-mail, mots de passe hachés, dates d’inscription et diverses autres informations relatives au logiciel de forum.
La table divulguée contient des informations sur les membres pour les utilisateurs qui se sont inscrits entre le 20 mars 2015 et le 24 septembre 2020, probablement lorsque la base de données a été vidé.
Impotent indique que certains membres de RaidForums ont été supprimés de la base de données et que l’on ignore quand et pourquoi le vidage a été créé à l’origine.
Breachtrace a confirmé que les informations de nombreux comptes dans la base de données contiennent des informations d’enregistrement connues. De plus, les membres du forum Exposed ont également confirmé que leurs informations se trouvent dans la table MySQL, indiquant que la table divulguée est légitime.
Bien qu’il soit probable que la base de données soit déjà entre les mains des forces de l’ordre après la saisie du forum, ces données pourraient toujours être utiles aux chercheurs en sécurité qui établissent généralement des profils d’acteurs de la menace.
En utilisant les informations d’enregistrement divulguées, les chercheurs peuvent en savoir plus sur les acteurs de la menace et éventuellement les lier à d’autres activités malveillantes.