Утечка базы данных BreachForums v1 - это тест OPSEC для хакеров

Во вторник вечером в Telegram была опубликована вся база данных печально известного хакерского форума BreachForums v1, в которой оказались сокровища данных, включая информацию о пользователях, личные сообщения, адреса криптовалют и все сообщения на форуме.

Эти данные получены из резервной копии базы данных, предположительно проданной Конором Фицпатриком, известным как Помпурин. В 2022 году, после того как хакерский форум RaidForums был конфискован, Фицпатрик запустил BreachForums v1, который впоследствии был конфискован ФБР после ареста Фицпатрика.

Как утверждается, Фицпатрик продал эту базу данных в июле, находясь под залогом. С тех пор данные циркулировали среди различных угрожающих субъектов, а один из них попытался продать их за 150 000 долларов в том же месяце.

Хотя в то время база данных была передана сайту Have I Been Pwned, она так и не была опубликована до этих выходных.

Начиная с выходных, происходит постоянная утечка данных из базы данных BreachForums v1.

Все началось с того, что угрожающий актер Эмо опубликовал ограниченный экспорт данных о пользователях, включая имена, адреса электронной почты и IP-адреса, после того как их забанили на текущей инкарнации BreachForums.

Однако, поскольку между членами сообщества BreachForum продолжались междоусобицы, во вторник вечером Emo слил всю базу данных, обнародовав огромное количество дополнительных данных.

«Прилагается полная база данных BreachForum v1, все записи до 29 ноября 2022 года», - написал Эмо в Telegram.

«Эта база данных включает в себя все: личные сообщения, темы, журналы платежей, подробные журналы IP-адресов каждого пользователя и т. д. Изначально я выложил только таблицу пользователей, чтобы предотвратить ее продажу за кулисы сотрудниками BreachForum, но теперь стало очевидно, что база данных есть у стольких людей, что ее утечка неизбежна».

«Это даст всем шанс просмотреть свои записи и устранить дыры в системе OPSEC».

BleepingComputer получил базу данных и, основываясь на временных метках в записях базы данных, может подтвердить, что это полная резервная копия форума MyBB, созданная 28 ноября 2022 года, примерно в 7 часов вечера по восточному времени.

База данных содержит все данные форума, включая хэшированные пароли пользователей, личные сообщения между ними, адреса криптовалют, использовавшихся для покупки кредитов форума, и все сообщения на сайте.

Особенно опасны личные сообщения, в которых участники угроз рассказывают друг другу о своих эксплойтах, выражают желание приобрести доступ к сетям или ищут доступ к последним украденным данным.

Данные также содержат адреса криптовалют, использовавшихся для покупки кредитов сайта, которые позволяли пользователям просматривать контент, скрытый в сообщениях форума.

Эти адреса позволят фирмам, занимающимся крипторазведкой, привязать исторические криптовалютные платежи к конкретным участникам угроз.

Хотя правоохранительные органы уже располагают этой базой данных после того, как они захватили сайт и арестовали его владельца в 2023 году, другие участники угроз, журналисты и исследователи до сих пор ее не видели.

Несмотря на то, что данным уже почти два года, они все еще являются проверкой оперативной безопасности (OPSEC) для многих участников угроз, которые часто посещали форумы.

OPSEC - это метод, используемый для защиты конфиденциальной информации, которая может быть использована противниками для получения преимущества или идентификации вас.

Адекватно ли участники хакерских форумов выполняли OPSEC, используя VPN или Tor при подключении к сайту, используя приватные адреса электронной почты или должным образом скрывая свою личность?

Только время покажет, как исследователи и журналисты будут использовать эти данные для создания профилей угрожающих субъектов, которые будут связаны с другими видами вредоносной деятельности.