Conor Brian Fitzpatrick, el fundador de 20 años y administrador del ahora desaparecido BreachForums ha sido acusado formalmente en los EE. UU. con conspiración para cometer fraude con dispositivos de acceso.
Si se prueba su culpabilidad, Fitzpatrick, conocido en línea como «pompompurin», enfrenta una pena máxima de hasta cinco años de prisión. Fue arrestado el 15 de marzo de 2023.
«El delito cibernético victimiza y roba información financiera y personal de millones de personas inocentes», dijo la fiscal federal Jessica D. Aber para el Distrito Este de Virginia. «Este arresto envía un mensaje directo a los ciberdelincuentes: se descubrirá su conducta ilegal y explotadora, y será llevado ante la justicia».
El desarrollo se produce días después de que Baphomet, la persona que se había hecho cargo de las responsabilidades de BreachForums, cerrara el sitio web, citando preocupaciones de que las fuerzas del orden público pudieran haber obtenido acceso a su backend. Desde entonces, el Departamento de Justicia (DoJ) ha confirmado que llevó a cabo una operación de interrupción que provocó que la plataforma criminal ilícita se desconectara.
BreachForums, según Fitzpatrick, se creó en marzo de 2022 para llenar el vacío dejado por RaidForums, que se eliminó un mes antes como parte de una operación policial internacional.
Sirvió como un mercado para intercambiar datos pirateados o robados, incluida información de cuentas bancarias, números de seguro social, herramientas de piratería y bases de datos que contienen información de identificación personal (PII).
en nuevo documentos judiciales lanzado el 24 de marzo de 2023, salió a la luz que agentes encubiertos que trabajaban para la Oficina Federal de Investigaciones (FBI) de EE. UU. compraron cinco conjuntos de datos ofrecidos a la venta, con Fitzpatrick actuando como intermediario para completar las transacciones.
Los enlaces de Fitzpatrick a pompompurin provenían de nueve direcciones IP asociadas con el proveedor de servicios de telecomunicaciones Verizon que usó para acceder a la cuenta en RaidForums y una importante OPSEC incumplimiento por parte del demandado.
«Los registros de RaidForums también contenían […] comunicación entre pompompurina y omnipotente [the RaidForums administrator] alrededor del 28 de noviembre de 2020, en el que pompompurin menciona específicamente a omnipotente que había buscado la dirección de correo electrónico [email protected] y el nombre ‘conorfitzpatrick’ dentro de una base de datos de datos violados de ‘Ai.type'», según el declaración jurada.
Vale la pena señalar que la aplicación de teclado de Android Ai.type sufrió una violación de datos en diciembre de 2017, lo que provocó la filtración accidental de correos electrónicos, números de teléfono y ubicaciones pertenecientes a 31 millones de usuarios.
Otros datos obtenidos de Google mostraron que Fitzpatrick registró una nueva cuenta de Google con la dirección de correo electrónico [email protected] en mayo de 2019 para reemplazar a [email protected], que se cerró alrededor de abril de 2020.
Además, una búsqueda de [email protected] en el servicio de notificación de violación de datos Have I Been Pwned (HIBP) corrobora el hecho de que la antigua dirección de correo electrónico quedó expuesta en la violación de Ai.type.
«La dirección de correo electrónico de recuperación para [email protected] era [email protected]», dice la declaración jurada. «Los registros de suscriptores de esta cuenta revelan que la cuenta se registró con el nombre ‘aa’ y se creó alrededor del 28 de diciembre de 2018 a partir de la dirección IP 74.101.151.4».
«Los registros recibidos de Verizon, a su vez, revelaron que la dirección IP 74.101.151.4 estaba registrada para un cliente con el apellido Fitzpatrick en [a residence located on Union Avenue in Peekskill, New York].»
La investigación también arrojó evidencia de que Fitzpatrick inició sesión en varios proveedores de redes privadas virtuales (VPN) desde septiembre de 2021 hasta mayo de 2022 para ocultar su verdadera ubicación y conectarse a diferentes cuentas, incluida la cuenta de Google vinculada a [email protected].
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
Una de esas direcciones IP enmascaradas se usó además para iniciar sesión en una cuenta de Zoom con el nombre de «pompompurin» con una dirección de correo electrónico de [email protected], según revelan los registros obtenidos por el FBI de Zoom. Curiosamente, se dice que Fitzpatrick usó la dirección de correo electrónico [email protected] para registrarse en RaidForums.
La agencia también descubrió una cuenta de criptomoneda Purse.io que se registró con la dirección de correo electrónico [email protected] y «fue financiada exclusivamente por una dirección de Bitcoin que pompompurin había discutido en publicaciones en RaidForums». Los registros de Purse.io mostraron que la cuenta se usó para comprar «varios artículos» y enviarlos a su dirección en Peekskill.
Además de eso, el FBI obtuvo una orden para obtener la ubicación GPS de su teléfono celular en tiempo real de Verizon, lo que permitió a las autoridades determinar que había iniciado sesión en BreachForums mientras que la ubicación física de su teléfono mostraba que estaba en su casa.
Pero eso no es todo. En otro error de OPSEC, Fitzpatrick cometió el error de iniciar sesión en BreachForums el 27 de junio de 2022 sin usar un servicio VPN o el navegador TOR, exponiendo así la dirección IP real (69.115.201.194).
Según los datos recibidos de Apple, se utilizó la misma dirección IP para acceder a la cuenta de iCloud unas 97 veces entre el 19 de mayo de 2022 y el 2 de junio de 2022.
«Fitzpatrick ha usado las mismas VPN y direcciones IP para iniciar sesión en la cuenta de correo electrónico [email protected], la cuenta Conor Fitzpatrick Purse.io, la cuenta pompompurin en RaidForums y la cuenta pompompurin en BreachForums, entre otras cuentas», dijo John del FBI. Dijo Longmire.
Después de la publicación de la declaración jurada, Baphomet dijo que «no debe confiar en nadie para manejar su propio OPSEC», y agregó: «Nunca hice esta suposición como administrador, y nadie más debería hacerlo».