BreachForums v1 hacking forumunun 2022’deki özel üye bilgileri çevrimiçi olarak sızdırıldı ve bu durum tehdit aktörlerinin ve araştırmacıların kullanıcıları hakkında bilgi edinmesine olanak sağladı.
BreachForums adı altında faaliyet gösteren çok sayıda forum, ihlal edilen şirketlerden çalınan verileri takas eden, satan ve sızdıran toplayıcılar ve tehdit aktörlerinden oluşan bir topluluk oluşturmayı amaçlıyor.
Öne çıkan ilk veri ihlali forumu RaidForums’du ve FBI’ın 2022’de bu forumu ele geçirmesinin ardından Pompompurin adlı bir tehdit aktörü, boşluğu doldurmak için BreachForums (diğer adıyla Breached) adlı bir yeniden yapım başlattı.
Bu forum, tehdit gruplarının çalınan büyük miktardaki verileri gururla sızdırmasıyla hızla öne çıktı. Bu veriler arasında ABD Kongresi’nin sağlık hizmeti sağlayıcısı DC Health Link, RobinHood ve ifşa edilmiş bir API kullanılarak sızdırılan Twitter verileri de vardı.
Ancak DC Health Link verileri sızdırıldıktan kısa bir süre sonra FBI, Mart 2023’te forumun sahibi Conor Fitzpatrick, namıdiğer Pompompurin’i tutukladı.
Kısa bir süre sonra, forumun birden fazla örneği oluşturuldu ve kolluk kuvvetleri tarafından ele geçirildi. En son hali ShinyHunters tarafından başlatıldı (şimdi yeni yöneticilere devredildi) ve bugün hala faaliyette.
Aynı ismi kullanan birden fazla site olması nedeniyle, yakın zamanda sızdırılan veriler, ilk olarak 2022 yılında Fitzpatrick tarafından oluşturulan ve sonunda 2024 yılında FBI tarafından ele geçirilen BreachForums 1.0 olarak adlandıracağımız siteden geliyor.
BreachForums 1.0 verileri sızdırıldı
Geçtiğimiz hafta Emo isimli tanınmış bir tehdit aktörü, BreachForums 1.0’ın 212.414 üyesinin kişisel bilgilerini sızdırdı.
Emo’ya göre veriler doğrudan Fitzpatrick’ten geliyor ve Fitzpatrick’in Haziran 2023’te kefaletle serbestken 4.000 dolara satmaya çalıştığı iddia ediliyor. Emo, verilerin sonunda üç tehdit aktörü tarafından satın alındığını söylüyor.
Fitzpatrick, Ocak 2024’te, izlenmeyen bir bilgisayar ve bir VPN kullanımı da dahil olmak üzere, duruşma öncesi serbest bırakma koşullarının şartlarını ihlal ettiği için tekrar tutuklandı. Bunun, BreachForums verilerini satmaya çalışmasıyla ilgili olup olmadığı bilinmiyor.
Kaynak: BleepingComputer
Temmuz 2023’te ‘breached_db_person’ adlı birisi, hack forumunda forum veritabanını 100.000 – 150.000 dolara satmaya çalıştı.
Satıcı ayrıca satış verilerini Troy Hunt ile paylaştı ve Troy Hunt, BleepingComputer’a bunun Emo ve diğer veritabanı kayıtları tarafından sızdırılan aynı verileri içerdiğini söyledi. Hunt daha sonra bilgileri Have I Been Pwned veri ihlali bildirim hizmetine ekledi.
Emo, BleepingComputer’a bu verilerin Kasım 2022’de BreachForums veritabanının yedeğinden alındığını ve son olarak Fitzpatrick’in MEGA hesabına yüklendiğini söyledi.
Sızdırılan verilerde forum üyesinin kullanıcı kimliği, giriş adı, e-posta adresi, kayıt IP adresi ve siteyi ziyaret ederken son kullanılan IP adresi yer alıyor.
BleepingComputer veritabanını analiz etti ve orijinal BreachForums’da hesabı bulunan birçok araştırmacının doğru bilgilerini içerdiğini doğruladı.
Bu veriler MyBB forum veritabanı formatında olmadığı ve sekmeyle ayrılmış değerler olarak dışarı aktarıldığı için manuel bir dışa aktarma gibi görünüyor.
Forum ele geçirildikten sonra veritabanının muhtemelen kolluk kuvvetlerinin eline geçmiş olması muhtemel olsa da, bu veriler tehdit aktörlerinin profillerini oluşturan güvenlik araştırmacıları için hâlâ faydalı olabilir.
Araştırmacılar ve kolluk kuvvetleri, sızdırılan e-posta adreslerini ve IP adreslerini kullanarak BreachForums üyelerini diğer sitelere, coğrafi konumlarına ve potansiyel olarak gerçek adlarına bağlayabilirler.
478 bin üyenin verilerinin yer aldığı RaidForums veritabanı da benzer şekilde Mayıs 2023’te internete sızdırılmıştı.
