Kötü şöhretli RaidForums bilgisayar korsanlığı forumları için bir veritabanı çevrimiçi olarak sızdırıldı ve bu, tehdit aktörlerinin ve güvenlik araştırmacılarının forumu sık sık ziyaret eden kişiler hakkında bilgi sahibi olmalarını sağladı.
RaidForums, ihlal edilen kuruluşlardan çalınan verileri barındırması, sızdırması ve satmasıyla tanınan çok popüler ve kötü şöhretli bir bilgisayar korsanlığı ve veri sızıntısı forumuydu.
Forumu sık sık ziyaret eden tehdit aktörleri, müşteri bilgilerini çalmak için web sitelerine girer veya açığa çıkan veritabanı sunucularına erişirdi. Tehdit aktörleri daha sonra verileri, kimlik avı saldırıları, kripto para dolandırıcılığı veya kötü amaçlı yazılım dağıtma gibi kampanyaları için kullanan diğer tehdit aktörlerine satmaya çalıştı.
Çoğu durumda, veriler satılmazsa veya bir süre geçmişse, çalınan veriler topluluk arasında itibar kazanmak için RaidForums’a ücretsiz olarak sızdırılırdı.
Nisan 2022’de RaidForums web sitesine ve altyapısına, sitenin yöneticisi Omnipotent ve iki suç ortağının tutuklanmasıyla uluslararası bir yasa uygulama operasyonunda el konuldu.
Raidforums kapandıktan sonra, kullanıcılar çalınan veritabanlarının ticaretine devam etmek için Breached adlı yeni bir foruma akın etti. Ancak Breached, kurucusu ve sahibi Pompompurin’in FBI tarafından tutuklanmasının ve sitenin diğer yöneticisinin kolluk kuvvetlerinin sunucularına erişimi olduğundan endişe duymasının ardından Mart 2023’te kapatıldı.
RaidForums veritabanı çevrimiçi sızdırıldı
Bu ayın başlarında, Breached’ın kapanmasının bıraktığı boşluğu doldurmayı amaçlayan ‘Exposed’ adlı bir forum başlatıldı ve kısa sürede popüler oldu.
Bugün, sitenin yöneticilerinden biri olan ‘Impotent’, RaidForums üye veri tabanını sızdırarak diğer tehdit aktörlerine, araştırmacılara ve potansiyel olarak kolluk kuvvetlerine çok sayıda bilgi ifşa etti.
Kaynak: BleepingComputer
BleepingComputer sızan verileri gördü ve RaidForums’un forum yazılımı tarafından kayıt bilgilerini depolamak için kullanılan ‘mybb_users’ tablosu için tek bir SQL dosyasından oluşuyor.
Bu tablo, 478.870 RaidForums üyesinin kullanıcı adları, e-posta adresleri, hashlenmiş şifreleri, kayıt tarihleri ve forum yazılımıyla ilgili diğer çeşitli bilgiler dahil olmak üzere kayıt bilgilerini içerir.
Sızdırılan tablo, 20 Mart 2015 ile 24 Eylül 2020 arasında, muhtemelen veritabanı boşaltıldığında kayıt yaptıran kullanıcıların üye bilgilerini içeriyor.
Impotent, bazı RaidForums üyelerinin veritabanından kaldırıldığını ve dökümün orijinal olarak ne zaman ve neden oluşturulduğunun bilinmediğini söylüyor.
BleepingComputer, veritabanındaki çok sayıda hesabın bilgilerinin bilinen kayıt bilgilerini içerdiğini onayladı. Ek olarak, Exposed forum üyeleri de bilgilerinin MySQL tablosunda olduğunu doğrulayarak sızdırılan tablonun meşru olduğunu gösterdi.
Veritabanının forum ele geçirildikten sonra kolluk kuvvetlerinin elinde olması muhtemel olsa da, bu veriler genellikle tehdit aktörlerinin profillerini oluşturan güvenlik araştırmacıları için yararlı olabilir.
Araştırmacılar, sızan kayıt bilgilerini kullanarak tehdit aktörleri hakkında daha fazla bilgi edinebilir ve potansiyel olarak onları diğer kötü niyetli faaliyetlerle ilişkilendirebilir.