[ad_1]

Un homme du Connecticut qui a gagné prime de bogue BreachTrace a appris que BreachTrace a reçu des récompenses et une reconnaissance publique de la part des plus grandes entreprises de télécommunications pour avoir trouvé et signalé des failles de sécurité dans leurs sites Web.

En mai 2018, ZDNet a couru une histoire à propos de la découverte d’une vulnérabilité flagrante sur le site Web d’un fournisseur de services sans fil T Mobile qui permettent à quiconque de rechercher les adresses personnelles des clients et les codes PIN des comptes. L’histoire a noté que T-Mobile a désactivé la fonctionnalité début avril après avoir été alerté par un « chercheur en sécurité » de 22 ans nommé Ryan Stevensonet que le géant de la téléphonie mobile avait accordé à Stevenson 1 000 $ pour avoir signalé la découverte dans le cadre de son programme de primes aux bogues.

Le compte Twitter @phobia, alias Ryan Stevenson. Le terme « plug » référencé à côté de son nom de profil Twitch est un argot de hacker pour les employés des magasins de téléphonie mobile qui peuvent être trompés ou soudoyés pour aider aux attaques par échange de carte SIM.

De même, AT&T a reconnu Stevenson pour avoir signalé des failles de sécurité dans ses services. Le site Bug Bounty d’AT&T permet aux contributeurs de partager un compte de réseau social ou une adresse Web où ils peuvent être contactés, et dans le cas de Stevenson, il a donné le pseudo Twitter aujourd’hui disparu « @Phoobia ».

Le profil Linkedin de Stevenson – nommé « Phobias » – indique qu’il se spécialise dans la recherche d’exploits sur de nombreux sites Web, notamment hotmail.com, yahoo.com, aol.com, paypal.com et ebay.com. Sous l’onglet « coordonnées » du profil de Stevenson, il répertorie le compte youtube.com de « Ryan” et le compte Facebook “Phobia” (également maintenant supprimé).

Par coïncidence, je suis tombé sur plusieurs variantes de ce surnom de Phobia alors que je faisais des recherches sur une histoire publiée cette semaine sur le épidémie d’échanges frauduleux de cartes SIMune forme complexe de fraude par téléphone mobile qui est utilisée pour voler des millions de dollars en crypto-monnaies.

Les échanges de carte SIM non autorisés sont également souvent utilisés pour détourner des comptes d’utilisateurs dits « OG » – généralement des noms d’utilisateur courts sur les meilleurs sites de réseaux sociaux et de jeux Web qui sont très prisés par de nombreux pirates car ils peuvent donner l’impression que le titulaire du compte a été un averti, premiers utilisateurs du service avant qu’il ne devienne populaire et avant que tous les noms d’utilisateur courts ne soient pris. Certains noms d’utilisateur OG peuvent être vendus pour des milliers de dollars sur les marchés clandestins.

L’histoire de l’échange de carte SIM de cette semaine cite une victime récente qui a perdu 100 000 $ après que son numéro de téléphone portable a été brièvement volé lors d’un échange de carte SIM frauduleux. La victime a déclaré que les enquêteurs de Santa Clara, en Californie, lui avaient dit que les auteurs de son attaque avaient pu accéder aux informations de son compte T-Mobile à l’aide d’un logiciel spécialisé qui leur donnait un accès détourné à la base de données clients de T-Mobile.

Les enquêteurs de Santa Clara et T-Mobile ont refusé de confirmer ou de nier l’existence de ce logiciel. Mais leurs refus m’ont incité à commencer à le chercher par moi-même. C’est donc naturellement que j’ai commencé à chercher sur ogusers-point-com, un forum dédié au piratage, au trading et à la vente de comptes OG. Sans surprise, ogusers-dot-com a également été traditionnellement le principal terrain de jeu pour de nombreuses personnes impliquées dans des attaques par échange de carte SIM.

Il n’a pas fallu longtemps pour découvrir un compte sur ogusers nommé « Ryan », qui pendant une grande partie de 2018 a annoncé un certain nombre de services de « doxing » différents – en particulier ceux visant à trouver les informations personnelles des clients des principales entreprises de haut débit et de télécommunications.

Dans certains des fils de discussion de Ryan, d’autres membres du forum l’appellent « Phob » ou « Phobs ». Dans un message du 27 mai, Ryan déclare qu’il est prêt à payer ou à échanger des comptes OG sous le nom de « Ryan », « Ryans », « RS », « RMS » ou « Stevenson » sur n’importe quel site Web populaire de taille décente. “hmu [hit me up] dans un mp [private message] parler », a exhorté Ryan aux autres membres du forum.

Le compte du forum des utilisateurs OG « Ryan » demandant aux autres membres de lui vendre ou d’échanger tout nom de compte de site Web majeur qui inclut le nom d’utilisateur OG « Ryan » ou « Stevenson ».

J’ai découvert qu’en juin 2018, Ryan offrait un service qui, selon lui, était capable de « doxer n’importe quel opérateur américain », y compris Verizon, AT&T, Sprint, T-Mobile, MetroPCS et Boost Mobile.

« Tout ce dont j’ai besoin, c’est du numéro », a déclaré Ryan à propos de son service de recherche de données client, qu’il a vendu 25 $ par enregistrement. « Paiement BTC [bitcoin] seul. »

Pour 25 $ par enregistrement, Ryan a offert aux autres membres d’ogusers la possibilité de rechercher des enregistrements de clients liés à n’importe quel client des principaux fournisseurs de téléphonie mobile américains.

Des offres très similaires ont été faites par l’alter ego de Phobia « AOLer » sur les hackforums de la communauté de piratage en ligne en anglais tentaculaire.

J’ai rencontré Stevenson pour la première fois il y a plusieurs années alors que j’essayais de déterminer qui était responsable de l’appel dans une situation d’otage bidon et de l’envoi d’une force de police lourdement armée dans notre maison de Virginie du Nord en 2013. Dans un suivi de cette histoire, Stevenson a admis qu’il était responsable du piratage très médiatisé contre Filaire journaliste Mat Honanqui documenté comment un hacker nommé Phobia avait supprimé son compte Google et effacé à distance toutes les données de son iPhone, iPad et MacBook.

Sous le surnom de « Phobiathegod » à l’époque, Stevenson faisait alors partie d’un groupe de jeunes hommes qui détournaient régulièrement les noms de compte OG sur Xbox de Microsoft plate-forme de jeu, utilisant souvent des méthodes qui impliquaient d’inciter les membres du service client de l’opérateur de téléphonie mobile de la cible à transférer les appels de la victime vers un numéro qu’ils contrôlaient.

Avance rapide jusqu’à aujourd’hui, et le compte Twitter principal de Phobia (illustré en haut de cet article) inclut l’expression « la prise » à côté de son profil. Dans les cercles d’échange de cartes SIM, une « prise » est un argot de hacker pour un employé d’un magasin de téléphonie mobile qui peut être soudoyé, trompé ou soumis à un chantage pour aider à un échange de carte SIM non autorisé.

Joint par message instantané sur LinkedIn, Stevenson a reconnu avoir géré les services de doxing du FAI, mais a déclaré que son compte sur le forum OGusers avait depuis été interdit et que presque personne ne l’avait accepté de toute façon.

« Je n’aurais pas dû faire les discussions même si personne n’a vraiment demandé quoi que ce soit », a-t-il déclaré. « Je suis du bon côté. Mais c’est presque 2019 et j’ai besoin de trouver un nouveau passe-temps, je ne peux pas prendre la peine de rechercher des failles/vulnes, je n’ai pas encore reçu d’offre d’emploi ou de recommandation.

Interrogé sur la référence « the plug » dans son profil Twitter, Stevenson a soudainement cessé de répondre. Peu de temps après, le compte Twitter @Phobia a été désactivé.

Stevenson a nié avoir été impliqué dans des attaques par échange de carte SIM, mais il est clair que Phobia était assez proche de nombreuses personnes qui sont ou étaient jusqu’à récemment au centre de cette scène. En juillet 2018, les autorités californiennes ont arrêté un habitant de Boston âgé de 20 ans Joël Ortiz pour avoir prétendument effectué des dizaines d’échanges de carte SIM frauduleux et voler au moins 5 millions de dollars de crypto-monnaie aux victimes.

Comme Phobia, Ortiz était présent sur OGusers et avait acquis certains des comptes de médias sociaux OG les plus disponibles, y compris les noms de compte Twitter et Instagram avec le numéro zéro (@0), et les comptes OG Youtube « Joel » et « X » .

Le 27 octobre 2017, le compte Youtube « Joel » a publié une vidéo de 4 minutes de Stevenson dansant sur une chanson de rap populaire devant la caméra. Le 5 juillet 2018, quelques jours seulement avant l’arrestation d’Ortiz, le compte Twitter « 0 » a crié à @Phobia sur Twitter suggérant que Phobia tweetait en fait en utilisant le compte « 0 » d’Ortiz.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *