اطلاعات کاربران انجمن هکری و فروش داده ی BreachForums v1 بصورت عمومی در تلگرام و سایتهای دیگه منتشر شده. این داده ها مورد توجه بازیگران تهدید، مجریان قانون و محققین و روزنامه نگاران قرار گرفته، چون اطلاعات بیشتری رو در خصوص اعضای این سایت در اختیارشون قرار میده.
برای مثال با توجه به اینکه برخی از هک های داخل ایران هم بعد از هک در این انجمن برای فروش گذاشته بود، یا توسط بازیگران تهدید ایرانی انجام شدن، داده های منتشر شده امکان رصد و در برخی موارد رسیدن به خود عامل تهدید رو فراهم میکنه.
انجمن های متعددی تحت نام BreachForums فعالیت کردن و همه ی اونا با این هدف بالا اومدن تا بتونن یک جامعه ای از فروشندگان داده و بازیگران تهدید رو دور هم جمع کنن.
اولین فروم فروش داده که خیلی مشهور شد، RaidForums بود. بعد از توقیف این فروم در سال 2022، یک بازیگر تهدید دیگه بنام Pompompurin یک فروم دیگه بنام BreachForums و معروف به Breached رو برای پر کردن خلاء RaidForums بالا آورد.
این فروم به سرعت مشهور شد و بازیگران مشهور زیادی رو دور خودش جمع کرد. داده هایی مانند ارائه دهندگان مراقبت های بهداشتی کنگره D.C. Health Link و داده های توییتر که از یک API جمع آوری شده بود ، همگی از طریق این فروم منتشر و بفروش گذاشته شده بود.
بعد از افشای اطلاعات D.C. Health Link، بلافاصله FBI مالک این فروم، Conor Fitzpatrick که به Pompompurin معروف بود رو در مارس 2023 دستگیر کرد.
بعد از این دستگیری باز چندین نسخه از فروم های فروش داده بالا اومد که توسط مجریان قانون توقیف شدن. آخرین مورد توسط ShinyHunters بالا اومد (البته الان به ادمین های جدیدی انتقال داده شده) که هنوز هم بالاست.
با توجه به اینکه چندین سایت از عنوان BreachForums استفاده میکنن، داده های منتشر شده رو با عنوان BreachForums 1.0 نامگذاری کردن که مربوط به فرومی هستش که توسط Fitzpatrick در سال 2022 راه اندازی و در 2024 توسط FBI توقیف شد.
هفته ی گذشته ی یک بازیگر تهدید معروف بنام Emo ، اطلاعات شخصی 212,414 از اعضای BreachForums 1.0 رو منتشر کرد.
Emo اعلام کرده که این داده ها رو خود Fitzpatrick، زمانیکه در ژوئن 2023 به قید وثیقه آزاد بود به قیمت 4000 دلار فروخته و 3 بازیگر تهدید این داده هارو خریداری کردن.
Fitzpatrick در ژانویه 2024 به دلیل نقض شرایط آزادی قبل از محاکمه از جمله استفاده از کامپیوتر بدون ناظر و VPN دوباره دستگیر شد. معلوم نیست که این نقضی که انجام داده برای فروش داده ها بوده یا نه.
در جولای 2023 فردی بنام breached_db_person خواسته این دیتابیس رو به قیمت 100 تا 150 هزار دلار بفروشه.
فروشنده این داده هارو در اختیار Troy Hunt هم قرار داد و ایشون اونارو به سرویس اعلان نقض داده ی Have I Been Pwned اضافه کرد. این داده ها همون چیزی هستش که دست Emo هم بوده.
Emo اعلام کرده این داده ها مربوط به یک نسخه پشتیبان از دیتابیس BreachForums هستش که در 29 نوامبر 2022 / 8 آذر 1401 گرفته شده و آخرین موردی هستش که در اکانت مگای Fitzpatrick آپلود شده.
Emo بعد از اینکه در انجمن فعلی BreachForums مسدود شده، اومده این داده هارو بصورت عمومی منتشر کرده.
اطلاعات منتشر شده حاوی موارد زیر هستش:
- شناسه کاربری
- نام کاربری
- ایمیل
- آدرس IP در زمان ثبت نام
- آخرین آدرس IP که از فروم بازدید کرده
- پیامهای خصوصی
- آدرس ارزهای دیجیتال برای خرید اعتبار
- پستهای عمومی
- پسوردهای هش شده
با ترکیب این داده ها با داده های لیک شده از سایتها و فرومهای دیگه، میشه اطلاعات زیادی در خصوص اعضای این فروم بخصوص بازیگران تهدید بدست آورد.
داده های موجود در پیام های خصوصی رد و بدل شده بین اعضا میتونه حاوی اطلاعاتی در خصوص دسترسی ها و اکسپلویتها، اهداف مورد علاقه اشون و … باشه.
همچنین آدرس های ارزهای دیجیتال هم میتونه برای شرکتهای Crypto Intelligence جالب باشه و از طریق این آدرس ها افراد پشت آدرسها یا حوادث رو شناسایی کنن.
داده های منتشر شده تایید شدن و دقیقا براساس Timestamp رکوردهای دیتابیس، میشه تایید کرد که یک نسخه پشتیبان کامل از فروم MyBB هستش که در 28 نوامبر 2022، تقریباً ساعت 7 عصر به وقت شرقی گرفته شده. (November 28th, 2022, 7 PM ET)
با اینکه این داده ها مربوط به 2 سال پیش هستن و این داده ها از قبل در اختیار مجریان قانون بودن اما این نشت عمومی همچنان میتونه چالش های OPSEC ای رو برای اعضای این فروم داشته باشه.
چنین اتفاقی قبلا برای RaidForums هم افتاده بود. داده های 478,000 از اعضای این فروم در ماه مه 2023 منتشر شد.
اگه عضو این انجمن بودید، از طریق این سایت میتونید بدونید که چه چیزهایی از شما منتشر شده.
منابع: