La base de données complète du tristement célèbre forum de piratage BreachForums v1 a été publiée sur Telegram mardi soir, exposant un trésor de données, y compris les informations des membres, les messages privés, les adresses de crypto-monnaie et tous les messages sur le forum.
Ces données proviennent d’une sauvegarde de base de données prétendument vendue par Conor Fitzpatrick, alias Pompompurin. En 2022, après la saisie du forum de piratage RaidForums, Fitzpatrick a lancé BreachForums v1, qui a ensuite été saisi par le FBI après l’arrestation de Fitzpatrick.
Fitzpatrick aurait vendu cette base de données en juillet alors qu’il était en liberté sous caution. Les données ont depuis circulé entre différents acteurs de la menace, l’un d’eux tentant de les vendre pour 150 000 dollars plus tard ce mois-là.
Bien que la base de données ait été partagée avec Have I Been Pwned à l’époque, elle n’a jamais été rendue publique avant le week-end dernier.
Goutte à goutte … goutte à goutte … goutte à goutte
Depuis le week-end, il y a eu une fuite constante de données de la base de données BreachForums v1.
Cela a commencé lorsque l’acteur de la menace Emo a publié une exportation limitée des données des membres, y compris les noms des membres, les adresses e-mail et les adresses IP après qu’ils aient été bannis de l’incarnation actuelle de BreachForums.
Cependant, alors que les luttes intestines se poursuivaient parmi les membres de la communauté BreachForum, Emo a divulgué l’intégralité de la base de données mardi soir, exposant une énorme quantité de données supplémentaires.
« Trouvez ci-joint la base de données complète de BreachForum v1, tous les enregistrements jusqu’au 29 novembre 2022 », a posté Emo sur Telegram.
« Cette base de données comprend tout, les Messages privés, les Threads, les journaux de paiement, les journaux IP détaillés pour chaque utilisateur, etc. À l’origine, je n’ai divulgué la table des utilisateurs que pour la décourager d’être vendue dans les coulisses par le personnel de BreachForum, mais il est devenu évident que tant de personnes ont la base de données maintenant qu’elle est divulguée est inévitable. »
« Cela donnera à chacun une chance de revoir ses dossiers et de corriger les trous dans son OPSEC. »
Breachtrace a obtenu la base de données et, sur la base des horodatages dans les enregistrements de la base de données, peut confirmer qu’il s’agit d’une sauvegarde complète du forum MyBB qui a été créé le 28 novembre 2022 vers 19 h HE.
La base de données contient toutes les données du forum, y compris les mots de passe hachés des membres, les messages privés entre utilisateurs, les adresses de crypto-monnaie utilisées pour acheter des crédits de forum et chaque publication sur le site.
Les messages privés sont particulièrement dommageables, les acteurs de la menace s’envoyant des messages sur leurs exploits, exprimant le désir d’acheter l’accès aux réseaux ou cherchant à accéder aux dernières données volées.
Les données incluent également les adresses de crypto-monnaie utilisées pour acheter des crédits de site, ce qui a permis aux membres de voir le contenu caché dans les messages du forum.
Ces adresses permettront aux entreprises de renseignement cryptographique de lier les paiements historiques en crypto-monnaie à des acteurs spécifiques de la menace.
Alors que les forces de l’ordre disposent déjà de cette base de données après avoir saisi le site et arrêté son propriétaire en 2023, d’autres acteurs de la menace, journalistes et chercheurs ne l’ont pas vue jusqu’à présent.
Même si les données datent de près de deux ans, il s’agira toujours d’un test de sécurité opérationnelle (OPSEC) pour de nombreux acteurs de la menace qui fréquentaient les forums.
OPSEC est une méthode utilisée pour protéger les informations sensibles qui pourraient être utilisées par des adversaires pour obtenir un avantage ou vous identifier.
Les membres du forum de piratage ont-ils correctement exécuté OPSEC en utilisant des VPN ou Tor lors de la connexion au site, en utilisant des adresses e-mail privées ou en cachant correctement leur identité?
Seul le temps nous le dira, car les chercheurs et les journalistes utilisent ces données pour créer des profils d’acteurs de la menace qui les relient à d’autres activités malveillantes.