Récemment, l’intégralité de la base de données du célèbre forum de piratage BreachForums v1 a été divulguée sur Telegram, révélant une mine d’informations, y compris des données sur les membres, des messages privés, des adresses de cryptomonnaie et chaque publication sur le forum.
Cette fuite provient d’une sauvegarde de base de données qui aurait été vendue par Conor Fitzpatrick, connu sous le pseudonyme de Pompompurin. Après la saisie du forum RaidForums en 2022, Fitzpatrick a lancé BreachForums v1, qui a ensuite été saisi par le FBI suite à son arrestation.
Il est allégué que Fitzpatrick a vendu cette base de données en juillet, alors qu’il était sous caution. Depuis, les données ont circulé parmi divers acteurs malveillants, l’un d’eux tentant de la vendre pour 150 000 dollars plus tard dans le mois.
Bien que la base de données ait été partagée avec Have I Been Pwned à l’époque, elle n’a jamais été rendue publique jusqu’à ce week-end dernier.
Fuite continue de données
Depuis le week-end, une fuite constante de données de la base de données de BreachForums v1 a été observée.
Tout a commencé avec le hacker Emo qui a publié une exportation limitée des données des membres, comprenant les noms, adresses e-mail et adresses IP des utilisateurs après avoir été banni de la version actuelle de BreachForums.
Cependant, alors que des conflits internes se poursuivaient parmi les membres de la communauté BreachForum, Emo a divulgué l’intégralité de la base de données mardi soir, exposant une quantité considérable de données supplémentaires.
« Vous trouverez ci-joint la base de données complète de BreachForum v1, chaque enregistrement jusqu’au 29 novembre 2022, » a posté Emo sur Telegram.
« Cette base de données comprend tout : messages privés, discussions, journaux de paiement, journaux IP détaillés pour chaque utilisateur, etc. J’avais initialement seulement divulgué la table des utilisateurs pour décourager sa vente en coulisses par le personnel de BreachForum, mais il est devenu évident que tant de personnes possèdent désormais la base de données qu’une fuite était inévitable. »
« Cela donnera à chacun la possibilité de revoir ses enregistrements et de corriger les failles dans sa sécurité opérationnelle. »
Source : BleepingComputer
BleepingComputer a obtenu la base de données et, en se basant sur les horodatages des enregistrements, peut confirmer qu’il s’agit d’une sauvegarde complète du forum MyBB créée le 28 novembre 2022, vers 19 heures, heure de l’Est.
La base de données contient toutes les données du forum, y compris les mots de passe hachés des membres, les messages privés entre utilisateurs, les adresses de cryptomonnaie utilisées pour acheter des crédits de forum, et chaque publication sur le site.
Les messages privés sont particulièrement compromettants, les acteurs malveillants échangeant des informations sur leurs exploits, exprimant le désir d’acheter l’accès à des réseaux ou cherchant à obtenir les dernières données volées.
Source : BleepingComputer
Les données incluent également des adresses de cryptomonnaie utilisées pour acheter des crédits sur le site, permettant aux membres d’accéder à du contenu caché dans les publications du forum.
Ces adresses permettront aux entreprises d’intelligence en cryptomonnaie de relier des paiements historiques à des acteurs malveillants spécifiques.
Bien que les forces de l’ordre aient déjà accès à cette base de données après avoir saisi le site et arrêté son propriétaire en 2023, d’autres acteurs malveillants, journalistes et chercheurs n’y avaient pas eu accès jusqu’à présent.
Malgré le fait que les données soient presque deux ans anciennes, elles constitueront toujours un test de sécurité opérationnelle (OPSEC) pour de nombreux acteurs malveillants qui fréquentaient les forums.
L’OPSEC est une méthode utilisée pour protéger des informations sensibles qui pourraient être exploitées par des adversaires pour obtenir un avantage ou vous identifier.
Les membres du forum de piratage ont-ils correctement appliqué l’OPSEC en utilisant des VPN ou Tor lors de leur connexion au site, en utilisant des adresses e-mail privées, ou en cachant correctement leur identité ?
Seul le temps le dira alors que chercheurs et journalistes utiliseront ces données pour établir des profils d’acteurs malveillants les liant à d’autres activités malveillantes.
