Les informations privées des membres du forum de piratage BreachForums v1 de 2022 ont été divulguées en ligne, permettant aux acteurs de la menace et aux chercheurs d'avoir un aperçu de ses utilisateurs.

Plusieurs forums ont fonctionné sous le nom de BreachForums, tous consacrés à la création d'une communauté de collectionneurs et d'acteurs malveillants qui échangent, vendent et divulguent des données volées aux entreprises piratées.

Le premier forum de violation de données à devenir célèbre était RaidForums, et après que le FBI s'en soit emparé en 2022, un acteur malveillant connu sous le nom de Pompompurin a lancé un remake appelé BreachForums (alias Breached) pour combler le vide.

Ce forum a rapidement pris de l'importance, les acteurs malveillants divulguant fièrement d'énormes quantités de données volées, notamment des données du fournisseur de soins de santé du Congrès américain DC Health Link, RobinHood et des données Twitter divulguées à l'aide d'une API exposée.

Cependant, peu de temps après la fuite des données de DC Health Link, le FBI a arrêté le propriétaire du forum, Conor Fitzpatrick, alias Pompompurin, en mars 2023.

Peu de temps après, plusieurs instances du forum ont été créées et saisies par les forces de l'ordre. La dernière incarnation a été lancée par ShinyHunters (maintenant transmise à de nouveaux administrateurs) et est toujours en activité aujourd'hui.

En raison de plusieurs sites utilisant le même nom, les données récemment divulguées proviennent de ce que nous appellerons BreachForums 1.0, le site créé initialement par Fitzpatrick en 2022 et finalement saisi par le FBI en 2024.

Fuite de données de BreachForums 1.0

La semaine dernière, un acteur malveillant bien connu nommé Emo a divulgué les informations personnelles de 212 414 membres de BreachForums 1.0.

Selon Emo, les données proviennent directement de Fitzpatrick, qui aurait tenté de les vendre en juin 2023 pour 4 000 dollars alors qu'il était en liberté sous caution. Emo affirme que les données ont finalement été achetées par trois acteurs malveillants.

Fitzpatrick a été de nouveau arrêté en janvier 2024 pour avoir violé les conditions de sa libération provisoire, notamment pour avoir utilisé un ordinateur non surveillé et un VPN. On ne sait pas si cela était lié à sa tentative de vente des données de BreachForums.

En juillet 2023, une personne nommée «breached_db_person» a tenté de vendre la base de données du forum pour 100 000 à 150 000 dollars sur le forum de piratage.

Le vendeur a également partagé les données de vente avec Troy Hunt, qui a déclaré à BleepingComputer qu'elles incluaient les mêmes données divulguées par Emo et d'autres enregistrements de base de données. Hunt a ensuite j'ai ajouté les informations au service de notification de violation de données Have I Been Pwned.

Emo a déclaré à BleepingComputer que ces données proviennent d'une sauvegarde de la base de données BreachForums de novembre 2022, la dernière téléchargée sur le compte MEGA de Fitzpatrick.

Les données divulguées contiennent l'identifiant d'utilisateur d'un membre du forum, son nom de connexion, son adresse e-mail, son adresse IP d'inscription et la dernière adresse IP utilisée lors de la visite du site.

BleepingComputer a analysé la base de données et vérifié qu'elle contient les informations exactes de nombreux chercheurs qui avaient des comptes sur les BreachForums d'origine.

Ces données semblent être une exportation manuelle, car elles ne sont pas au format de base de données du forum MyBB mais plutôt exportées sous forme de valeurs séparées par des tabulations.

Bien qu'il soit probable que la base de données soit déjà entre les mains des forces de l'ordre après la saisie du forum, ces données pourraient néanmoins être utiles aux chercheurs en sécurité qui établissent généralement des profils d'acteurs de la menace.

En utilisant les adresses e-mail et les adresses IP divulguées, les chercheurs et les forces de l'ordre peuvent relier les membres de BreachForums à d'autres sites, à leur situation géographique et potentiellement à leurs vrais noms.

La base de données RaidForums, qui contenait les données de 478 000 membres, a également été divulguée en ligne en mai 2023.