Conor Brian Fitzpatrick, le fondateur de 20 ans et l’administrateur de BreachForums, aujourd’hui disparu, a été formellement accusé aux États-Unis avec complot en vue de commettre une fraude sur les dispositifs d’accès.
S’il est prouvé coupable, Fitzpatrick, qui est passé par le surnom en ligne « pompompurin », encourt une peine maximale pouvant aller jusqu’à cinq ans de prison. Il a été arrêté le 15 mars 2023.
« La cybercriminalité victimise et vole des informations financières et personnelles de millions de personnes innocentes », a déclaré l’avocate américaine Jessica D. Aber pour le district oriental de Virginie. « Cette arrestation envoie un message direct aux cybercriminels : votre conduite abusive et illégale sera découverte et vous serez traduit en justice. »
Le développement survient quelques jours après que Baphomet, la personne qui avait repris les responsabilités de BreachForums, a fermé le site Web, invoquant des craintes que les forces de l’ordre aient pu avoir accès à son backend. Le ministère de la Justice (DoJ) a depuis confirmé avoir mené une opération de perturbation qui a entraîné la mise hors ligne de la plate-forme criminelle illicite.
BreachForums, selon Fitzpatrick, a été créé en mars 2022 pour combler le vide laissé par RaidForums, qui avait été supprimé un mois auparavant dans le cadre d’une opération internationale de maintien de l’ordre.
Il servait de place de marché pour le commerce de données piratées ou volées, y compris des informations de compte bancaire, des numéros de sécurité sociale, des outils de piratage et des bases de données contenant des informations d’identification personnelle (PII).
En neuf documents judiciaires publié le 24 mars 2023, il est apparu que des agents d’infiltration travaillant pour le Federal Bureau of Investigation (FBI) des États-Unis avaient acheté cinq ensembles de données proposés à la vente, Fitzpatrick agissant en tant qu’intermédiaire pour mener à bien les transactions.
Les liens de Fitzpatrick vers pompompurin provenaient de neuf adresses IP associées au fournisseur de services Verizon que Pompompurin utilisait pour accéder au compte pompompurin sur RaidForums et un important OPSEC manquement du défendeur.
« Les enregistrements RaidForums contenaient également […] communication entre pompompurine et omnipotent [the RaidForums administrator] le ou vers le 28 novembre 2020, dans lequel pompompurin mentionne spécifiquement à l’omnipotent qu’il avait recherché l’adresse e-mail conorfitzpatrick02@gmail.com et le nom ‘conorfitzpatrick’ dans une base de données de données piratées de ‘ai.type’ « , selon le déclaration sous serment.
Il convient de noter que l’application de clavier Android Ai.type subi une violation de données en décembre 2017, entraînant la fuite accidentelle d’e-mails, de numéros de téléphone et de lieux associés à 31 millions d’utilisateurs.
D’autres données obtenues de Google révèlent que Fitzpatrick a enregistré un nouveau compte Google avec l’adresse e-mail conorfitzpatrick2002@gmail.com en mai 2019 pour remplacer conorfitzpatrick02@gmail.com, qui a été fermé vers avril 2020.
De plus, l' »ancienne » adresse e-mail conorfitzpatrick02@gmail.com est présente sur le site de notification légitime de violation de données de la base de données Ai.type. Ai-je été pwned.
« L’adresse e-mail de récupération pour conorfitzpatrick2002@gmail.com était funmc59tm@gmail.com », indique l’affidavit. « Les enregistrements d’abonnés pour ce compte révèlent que le compte a été enregistré sous le nom » aa « et créé le ou vers le 28 décembre 2018 à partir de l’adresse IP 74.101.151.4. »
« Les dossiers reçus de Verizon, à leur tour, ont révélé que l’adresse IP 74.101.151.4 était enregistrée pour un client dont le nom de famille était Fitzpatrick à [a residence located on Union Avenue in Peekskill, New York]. »
L’enquête a également révélé des preuves de la connexion de Fitzpatrick à divers fournisseurs de réseaux privés virtuels (VPN) de septembre 2021 à mai 2022 pour masquer sa véritable localisation et se connecter à différents comptes, y compris le compte Google lié à conorfitzpatrick2002@gmail.com.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
L’une de ces adresses IP masquées a en outre été utilisée pour se connecter à un compte Zoom sous le nom de « pompompurin » avec une adresse e-mail de pompompurin@riseup.net, révèlent des enregistrements obtenus par le FBI auprès de Zoom. Fait intéressant, Fitzpatrick aurait utilisé l’adresse e-mail pompompurin@riseup.net pour s’inscrire sur RaidForums.
L’agence a également découvert un compte de crypto-monnaie Purse.io qui a été enregistré avec l’adresse e-mail conorfitzpatrick2002@gmail.com et « a été financé exclusivement par une adresse Bitcoin dont pompompurin avait discuté dans des messages sur RaidForums. Les enregistrements de Purse.io ont montré que le compte a été utilisé pour acheter « plusieurs articles » et les expédier à son adresse à Peekskill.
En plus de cela, le FBI a obtenu un mandat pour obtenir la position GPS de son téléphone portable en temps réel auprès de Verizon, permettant aux autorités de déterminer qu’il était connecté à BreachForums alors que l’emplacement physique de son téléphone indiquait qu’il était chez lui.
Mais ce n’est pas tout. Dans une autre erreur OPSEC, Fitzpatrick a commis l’erreur de se connecter à BreachForums le 27 juin 2022, sans utiliser de service VPN ou le navigateur TOR, exposant ainsi la véritable adresse IP (69.115.201.194).
Sur la base des données reçues d’Apple, la même adresse IP a été utilisée pour accéder au compte iCloud environ 97 fois entre le 19 mai 2022 et le 2 juin 2022.
« Fitzpatrick a utilisé les mêmes VPN et adresses IP pour se connecter au compte de messagerie conorfitzpatrick2002@gmail.com, au compte Conor Fitzpatrick Purse.io, au compte pompompurin sur RaidForums et au compte pompompurin sur BreachForums, entre autres comptes », a déclaré John du FBI. dit Longmire.
Au lendemain de la publication de l’affidavit, Baphomet a déclaré « vous ne devriez faire confiance à personne pour gérer votre propre OPSEC », ajoutant « je n’ai jamais fait cette hypothèse en tant qu’administrateur, et personne d’autre ne devrait l’avoir non plus ».