Βάση δεδομένων BreachForums και ιδιωτικές συνομιλίες προς πώληση σε περίπτωση παραβίασης δεδομένων από χάκερ
Ενώ οι καταναλωτές είναι συνήθως αυτοί που ανησυχούν για την έκθεση των πληροφοριών τους σε παραβιάσεις δεδομένων, τώρα είναι η σειρά του χάκερ, καθώς η βάση δεδομένων του διαβόητου φόρουμ για εγκλήματα στον κυβερνοχώρο Breached είναι προς πώληση και τα δεδομένα μελών κοινοποιούνται στο Have I Been Pwned.
Χθες, το
Με έχουν πιάσει
Η υπηρεσία ειδοποίησης παραβίασης δεδομένων ανακοίνωσε ότι οι επισκέπτες μπορούν να ελέγξουν εάν οι πληροφορίες τους εκτέθηκαν σε μια παραβίαση δεδομένων του φόρουμ για παραβίαση του εγκλήματος στον κυβερνοχώρο.
“Τον Νοέμβριο του 2022 παραβιάστηκε το ίδιο το γνωστό φόρουμ χάκερ “BreachForums”. Αργότερα τον επόμενο χρόνο, ο χειριστής του ιστότοπου συνελήφθη και ο ιστότοπος κατασχέθηκε από τις υπηρεσίες επιβολής του νόμου”, αναφέρεται στην ανακοίνωση του HIBP.
“Η παραβίαση αποκάλυψε 212.000 εγγραφές, συμπεριλαμβανομένων ονομάτων χρήστη, διευθύνσεων IP και email, ιδιωτικών μηνυμάτων μεταξύ των μελών του ιστότοπου και κωδικών πρόσβασης που είναι αποθηκευμένοι ως hashes argon2.”
Το Breached ήταν ένα μεγάλο φόρουμ για παραβιάσεις και διαρροές δεδομένων, διαβόητο για τη φιλοξενία, τη διαρροή και την πώληση δεδομένων που είχαν κλαπεί από εταιρείες, κυβερνήσεις και οργανισμούς που έχουν παραβιαστεί σε όλο τον κόσμο.
Αφού το FBI συνέλαβε τον διαχειριστή του ιστότοπου Pompompurin τον Μάρτιο του 2023, ο εναπομείνας διαχειριστής, ο Baphomet, αποφάσισε να κλείσει το φόρουμ αφού πίστευε ότι οι αρχές επιβολής του νόμου είχαν επίσης πρόσβαση στους διακομιστές του ιστότοπου.
Η Baphomet κυκλοφόρησε αργότερα έναν νέο κλώνο Breached Forums (που ονομάζεται σε αυτό το άρθρο BFv2) με έναν άλλο πωλητή παραβίασης δεδομένων γνωστό ως Shiny Hunters.
Ένας θησαυρός δεδομένων
Η Παραβιασμένη βάση δεδομένων πωλείται αυτήν τη στιγμή από έναν παράγοντα απειλών με το όνομα «breached_db_person», ο οποίος είπε στην BleepingComputer ότι μοιράστηκαν τη βάση δεδομένων με το Have I Been Pwned για να αποδείξουν την αυθεντικότητά της σε πιθανούς αγοραστές.
Το BleepingComputer έχει επίσης επιβεβαιώσει ότι οι γνωστοί παραβιασμένοι λογαριασμοί παρατίθενται στον πίνακα του κοινόχρηστου μέλους.
Ο προηγούμενος παραβιασμένος διαχειριστής Baphomet επιβεβαίωσε επίσης την αυθεντικότητα της βάσης δεδομένων, προειδοποιώντας ότι η πώλησή της αποτελεί μέρος μιας “συνεχιζόμενης εκστρατείας που προσπαθεί να καταστρέψει την κοινότητα”.
“Η βάση δεδομένων όχι μόνο υποβλήθηκε στο HIBP, αλλά πωλείται/διαρρέει ενεργά από τουλάχιστον ένα άτομο – ακόμη και επιχειρεί να το κάνει στο φόρουμ μας”, προειδοποίησε ο Baphomet.
“Για αυτόν τον λόγο, είμαι σίγουρος ότι θα το δούμε δημόσια αρκετά σύντομα. Κρίνοντας από τους 212.000 χρήστες, αυτή είναι πιθανότατα μια παλαιότερη βάση δεδομένων μήνες πριν από το κλείσιμο του BFv1, καθώς το τελευταίο μου αντίγραφο ασφαλείας του φόρουμ έχει 336.000 χρήστες. “
Εκτός από τις αρχές επιβολής του νόμου, ο πωλητής είπε ότι μόνο αυτοί, η Baphomet και η Pompompurin κατέχουν τη βάση δεδομένων.
Ο ηθοποιός των απειλών λέει ότι πωλούν την Παραβιασμένη βάση δεδομένων σε ένα μόνο άτομο για $100.000 – $150.000 και ότι περιέχει ένα στιγμιότυπο ολόκληρης της βάσης δεδομένων που τραβήχτηκε στις 29 Νοεμβρίου 2022.
Το BleepingComputer ενημερώθηκε ότι η βάση δεδομένων είναι 2 GB και περιέχει όλους τους πίνακες, συμπεριλαμβανομένων αυτών για προσωπικά μηνύματα, συναλλαγές πληρωμών και τη βάση δεδομένων μελών.
Παραβιασμένοι πίνακες SQL φόρουμ
Πηγή: BleepingComputer
Ενώ το FBI αποκάλυψε ήδη ότι απέκτησαν πρόσβαση στη βάση δεδομένων του Breached μετά την κατάσχεση των διακομιστών, αυτά τα δεδομένα μπορούν να εξακολουθούν να είναι πολύτιμα για τους ερευνητές της κυβερνοασφάλειας και πιθανώς άλλους παράγοντες απειλών.
Ο πωλητής, breached_db_person, είπε στο BleepingComputer ότι οι πίνακες προσωπικών μηνυμάτων έχουν πολλές ενοχοποιητικές πληροφορίες σχετικά με τα μέλη του φόρουμ και ότι το “
μέλη
Η βάση δεδομένων περιέχει διευθύνσεις IP που δείχνουν ότι πολλοί παράγοντες απειλών δεν ακολουθούν καλή λειτουργική ασφάλεια χρησιμοποιώντας οικιακές διευθύνσεις IP.
Ο πίνακας προσωπικών μηνυμάτων είναι πολύτιμος καθώς περιέχει μηνύματα που αποστέλλονται ιδιωτικά μεταξύ των διαφορετικών μελών του φόρουμ, αποκαλύπτοντας πιθανώς πληροφορίες για προηγούμενες επιθέσεις, ταυτότητες και άλλες χρήσιμες πληροφορίες.
Δείγματα του πίνακα πληρωμών κοινοποιήθηκαν στο BleepingComputer και περιέχουν πληροφορίες σχετικά με τις πληρωμές που πραγματοποιήθηκαν για την αγορά τάξεων φόρουμ (επίπεδα μελών με επιπλέον προνόμια) και πιστώσεις (μια μορφή νομίσματος που χρησιμοποιείται στο φόρουμ).
Αυτές οι πληρωμές διεκπεραιώθηκαν μέσω
CoinBase
Commerce ή Sellix, με τις συναλλαγές Coinbase να περιλαμβάνουν συνδέσμους για επιβεβαιώσεις παραγγελίας που περιέχουν ευαίσθητες πληροφορίες, όπως διευθύνσεις κρυπτονομισμάτων και αναγνωριστικά πληρωμής Coinbase.
Αυτά τα δεδομένα κρυπτονομισμάτων μπορεί να είναι χρήσιμα σε εταιρείες ανάλυσης
blockchain
, οι οποίες μπορούν να χρησιμοποιήσουν τις διευθύνσεις κρυπτονομισμάτων για να συνδέσουν τους παράγοντες απειλών με εγκληματικές δραστηριότητες.
Αγορά της κατάταξης φόρουμ Παραβιασμένος «Θεός» μέσω του Coinbase
Πηγή: BleepingComputer
Το Breached και τα μέλη του είναι υπεύθυνα για ένα ευρύ φάσμα hacks, απόπειρες εκβιασμού, επιθέσεις ransomware και τη διαρροή κλεμμένων δεδομένων για πολλές εταιρείες. Αυτές οι παραβιάσεις περιλαμβάνουν DC Health Link,
Twitter
, RobinHood,
Acer
,
Activision
και πολλά άλλα.
Ως εκ τούτου, τα προσωπικά μηνύματα θα μπορούσαν να είναι πολύτιμα για τους ερευνητές, με τον πωλητή να δηλώνει ότι έχουν ήδη επικοινωνήσει μαζί τους από εταιρείες κυβερνοασφάλειας ζητώντας αντίγραφο των δεδομένων για τη δική τους έρευνα.
Ενδιαφέρον δείχνουν και άλλοι παράγοντες απειλών, με τον πωλητή να λέει ότι έλαβαν προσφορά για 250.000 δολάρια.
Αν και είναι πολύ νωρίς για να πούμε εάν η βάση δεδομένων θα πουληθεί τελικά, ακόμα κι αν γίνει, δεν θα ήταν έκπληξη η δωρεάν διαρροή ολόκληρης της βάσης δεδομένων στο μέλλον.
Είναι σύνηθες φαινόμενο οι παραβιάσεις δεδομένων να αγοράζονται πρώτα ιδιωτικά και στη συνέχεια να κυκλοφορούν αργότερα για να αυξηθεί η φήμη μεταξύ της κοινότητας κλοπής δεδομένων.
Μόλις πρόσφατα, το κατασχεθέν φόρουμ παραβίασης δεδομένων RaidForums υπέστη επίσης παραβίαση δεδομένων και ο νέος κλώνος BreachedForums (BFv2) διέρρευσε τη βάση δεδομένων του.
