Ünlü BreachForums v1 hack forumunun tüm veritabanı Salı gecesi Telegram’da yayınlandı ve üyelerin bilgileri, özel mesajları, kripto para adresleri ve forumdaki her gönderi dahil olmak üzere bir veri hazinesini ortaya çıkardı.
Bu veriler, iddiaya göre Conor Fitzpatrick, namıdiğer Pompompurin tarafından satılan bir veritabanı yedeğinden geliyor. 2022’de, RaidForums hacking forumu ele geçirildikten sonra Fitzpatrick, daha sonra Fitzpatrick tutuklandıktan sonra FBI tarafından ele geçirilen BreachForums v1’i başlattı.
Fitzpatrick’in kefaletle serbest bırakıldığı temmuz ayında bu veritabanını sattığı iddia ediliyor. Veriler o zamandan beri farklı tehdit aktörleri arasında dolaşıyor ve bir tanesi aynı ayın ilerleyen zamanlarında 150.000 dolara satmaya çalışıyor.
Veritabanı o dönemde Have I Been Pwned ile paylaşılmış olsa da, geçtiğimiz hafta sonuna kadar kamuoyuyla paylaşılmamıştı.
Damla… damla… damla
Hafta sonundan bu yana BreachForums v1 veritabanından sürekli bir veri sızıntısı yaşanıyor.
Her şey, tehdit aktörü Emo’nun, BreachForums’un mevcut sürümünden yasaklanmalarının ardından üye adları, e-posta adresleri ve IP adresleri de dahil olmak üzere üye verilerinin sınırlı bir kısmını yayınlamasıyla başladı.
Ancak BreachForum topluluğu üyeleri arasındaki çekişmeler sürerken, Emo Salı gecesi tüm veritabanını sızdırdı ve muazzam miktarda ek veriyi açığa çıkardı.
Emo, Telegram’da “BreachForum v1 veritabanının tamamını, 29 Kasım 2022’ye kadar olan tüm kayıtları ekte bulabilirsiniz” yazdı.
“Bu veritabanı her şeyi içerir; Özel Mesajlar, Konular, Ödeme kayıtları, her kullanıcı için detaylı IP kayıtları, vb. Başlangıçta kullanıcı tablosunu yalnızca BreachForum personeli tarafından perde arkasında satılmasını engellemek için sızdırmıştım, ancak artık çok sayıda kişinin veritabanına sahip olduğu ve sızdırılmasının kaçınılmaz olduğu ortaya çıktı.”
“Bu, herkese kayıtlarını inceleme ve OPSEC’lerindeki açıkları giderme şansı verecek.”
BleepingComputer veritabanını elde etti ve veritabanı kayıtlarındaki zaman damgalarına dayanarak, bunun 28 Kasım 2022’de, yaklaşık 19:00 ET’de oluşturulan MyBB forumunun tamamının bir yedeği olduğunu doğrulayabiliyor.
Veritabanında foruma ait tüm veriler yer alıyor. Bunlara üyelerin şifrelenmiş parolaları, kullanıcılar arasındaki özel mesajlar, forum kredisi satın almak için kullanılan kripto para adresleri ve sitede yayınlanan her mesaj dahil.
Özel mesajlar özellikle zararlı oluyor; tehdit aktörleri birbirlerine saldırıları hakkında mesaj atıyor, ağlara erişim satın alma isteklerini dile getiriyor veya en son çalınan verilere erişmeye çalışıyor.
Veriler arasında, üyelerin forum yazılarında gizli içerikleri görüntülemelerine olanak tanıyan site kredisi satın almak için kullanılan kripto para adresleri de yer alıyor.
Bu adresler, kripto istihbarat şirketlerinin geçmiş kripto para ödemelerini belirli tehdit aktörlerine bağlamasına olanak tanıyacak.
Kolluk kuvvetleri, 2023 yılında siteyi ele geçirip sahibini tutukladıktan sonra bu veri tabanına zaten sahip olsa da, diğer tehdit aktörleri, gazeteciler ve araştırmacılar şimdiye kadar bunu görmemişti.
Veriler yaklaşık iki yıllık olmasına rağmen, forumları sık sık ziyaret eden birçok tehdit aktörü için yine de operasyonel güvenlik (OPSEC) testi olacak.
OPSEC, saldırganların avantaj elde etmek veya sizi tespit etmek için kullanabileceği hassas bilgileri korumak için kullanılan bir yöntemdir.
Hacker forum üyeleri siteye bağlanırken VPN veya Tor kullanarak, özel e-posta adresleri kullanarak veya kimliklerini düzgün bir şekilde gizleyerek OPSEC’i yeterli şekilde gerçekleştirdiler mi?
Bunu ancak zaman gösterecek; araştırmacılar ve gazeteciler bu verileri kullanarak tehdit aktörlerinin profillerini oluşturup onları diğer kötü amaçlı faaliyetlere bağlayacaklar.