BreachForums’un 20 yaşındaki kurucusu ve yöneticisi Conor Brian Fitzpatrick tutuklandı. resmen suçlandı ABD’de erişim cihazı dolandırıcılığı yapmak için komplo kurmak.
Suçluluğu kanıtlanırsa, internette “pompompurin” lakaplı Fitzpatrick, en fazla beş yıla kadar hapis cezasıyla karşı karşıya kalacak. 15 Mart 2023’te tutuklandı.
ABD Savcısı Jessica D. Aber, “Siber suç milyonlarca masum insanı mağdur ediyor ve onlardan finansal ve kişisel bilgileri çalıyor” dedi. “Bu tutuklama, siber suçlulara doğrudan bir mesaj gönderiyor: İstismar edici ve yasa dışı davranışlarınız ortaya çıkarılacak ve adalete teslim edileceksiniz.”
Gelişme, BreachForums’un sorumluluklarını devralan Baphomet’in, kolluk kuvvetlerinin sitenin arka ucuna erişim elde etmiş olabileceğine dair endişelerini öne sürerek web sitesini kapatmasından günler sonra geldi. Adalet Bakanlığı (DoJ), o zamandan beri yasadışı suç platformunun çevrimdışı olmasına neden olan bir kesinti operasyonu yürüttüğünü doğruladı.
Fitzpatrick’e göre BreachForums, bir ay önce uluslararası bir kanun uygulama operasyonunun parçası olarak kapatılan RaidForums’un bıraktığı boşluğu doldurmak için Mart 2022’de oluşturuldu.
Banka hesabı bilgileri, Sosyal Güvenlik numaraları, bilgisayar korsanlığı araçları ve kişisel olarak tanımlayıcı bilgiler (PII) içeren veritabanları dahil olmak üzere saldırıya uğramış veya çalınmış verilerin ticareti için bir pazar yeri olarak hizmet etti.
Yeni olarak mahkeme belgeleri 24 Mart 2023’te yayınlanan, ABD Federal Soruşturma Bürosu (FBI) için çalışan gizli ajanların satışa sunulan beş veri setini satın aldığı ve Fitzpatrick’in işlemleri tamamlamak için aracılık yaptığı ortaya çıktı.
Fitzpatrick’in pompompurin’e olan bağlantıları, Pompompurin’in RaidForums’taki pompompurin hesabına erişmek için kullandığı hizmet sağlayıcı Verizon ile ilişkili dokuz IP adresinden ve bir büyük OPSEC davalı tarafında başarısızlık.
“RaidForums kayıtları ayrıca […] pompompurin ve her şeye kadir arasındaki iletişim [the RaidForums administrator] 28 Kasım 2020’de veya yaklaşık olarak, pompompurin’in her şeye gücü yeten kişiye [email protected] e-posta adresini ve ‘ai.type’dan ihlal edilen verilerden oluşan bir veritabanında ‘conorfitzpatrick’ adını aradığından özellikle bahsettiği” yeminli beyan
Android klavye uygulamasının Ai.type olduğunu belirtmekte fayda var. veri ihlali yaşadı Aralık 2017’de, 31 milyon kullanıcıyla ilişkili e-postaların, telefon numaralarının ve konumların yanlışlıkla sızdırılmasına yol açtı.
Google’dan elde edilen diğer veriler, Fitzpatrick’in Nisan 2020’de kapatılan [email protected]’un yerine Mayıs 2019’da [email protected] e-posta adresiyle yeni bir Google hesabı kaydettirdiğini ortaya koyuyor.
Dahası, “eski” [email protected] e-posta adresi, ihlal edilen Ai.type veritabanı meşru veri ihlali bildirim sitesinde mevcuttur. Kandırıldım mı.
Yeminli beyanda “[email protected] için kurtarma e-posta adresi [email protected] idi” yazıyor. “Bu hesabın abone kayıtları, hesabın ‘aa’ adı altında kaydedildiğini ve 28 Aralık 2018 tarihinde veya yaklaşık olarak 74.101.151.4 IP adresinden oluşturulduğunu ortaya koymaktadır.”
“Verizon’dan alınan kayıtlar, 74.101.151.4 IP adresinin, şu adreste Fitzpatrick soyadına sahip bir müşteriye kayıtlı olduğunu ortaya çıkardı: [a residence located on Union Avenue in Peekskill, New York].”
Soruşturma ayrıca Fitzpatrick’in Eylül 2021’den Mayıs 2022’ye kadar çeşitli sanal özel ağ (VPN) sağlayıcılarında gerçek konumunu gizlemek ve [email protected] ile bağlantılı Google Hesabı da dahil olmak üzere farklı hesaplara bağlanmak için oturum açtığına dair kanıtlar ortaya çıkardı.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
FBI’ın Zoom’dan elde ettiği kayıtlara göre, bu maskelenmiş IP adreslerinden biri, [email protected] e-posta adresiyle “pompompurin” adı altında bir Zoom hesabına giriş yapmak için de kullanıldı. İlginç bir şekilde, Fitzpatrick’in RaidForums’a kaydolmak için [email protected] e-posta adresini kullandığı söyleniyor.
Ayrıca ajans tarafından ortaya çıkarılan, [email protected] e-posta adresiyle kayıtlı olan ve “Pompompurin’in RaidForums’taki gönderilerde tartıştığı bir Bitcoin adresi tarafından özel olarak finanse edilen bir Purse.io kripto para birimi hesabıdır. Purse.io’dan gelen kayıtlar, hesap, “birkaç öğe” satın almak ve bunları Peekskill’deki adresine göndermek için kullanıldı.
Bunun da ötesinde FBI, Verizon’dan gerçek zamanlı cep telefonu GPS konumunu almak için bir emir aldı ve yetkililerin, telefonunun fiziksel konumu onun evinde olduğunu gösterirken BreachForums’ta oturum açtığını belirlemesine olanak sağladı.
Ama hepsi bu kadar değil. Yine başka bir OPSEC hatasında Fitzpatrick, 27 Haziran 2022’de BreachForums’ta bir VPN hizmeti veya TOR tarayıcısı kullanmadan oturum açarak gerçek IP adresini (69.115.201.194) ifşa etme hatasını yaptı.
Apple’dan alınan verilere göre, 19 Mayıs 2022 ile 2 Haziran 2022 arasında yaklaşık 97 kez iCloud hesabına erişmek için aynı IP adresi kullanıldı.
FBI’dan John, “Fitzpatrick, diğer hesapların yanı sıra [email protected] e-posta hesabına, Conor Fitzpatrick Purse.io hesabına, RaidForums’taki pompompurin hesabına ve BreachForums’taki pompompurin hesabına giriş yapmak için aynı VPN’leri ve IP adreslerini kullandı.” dedi Longmire.
Yeminli beyanın yayınlanmasının ardından Baphomet, “Kendi OPSEC’inizi halletmesi için kimseye güvenmemelisiniz” dedi ve “Bu varsayımı bir yönetici olarak asla yapmadım ve başka hiç kimse de yapmamalı” dedi.