Computer head guy holding his hands up

データ侵害で自分の情報が流出することを心配するのは通常消費者だが、悪名高いBreachedサイバー犯罪フォーラムのデータベースが売りに出され、会員データがHave I Been Pwnedと共有されているため、今度はハッカーの番だ。

昨日、 Have I Been Pwnedデータ侵害通知サービスは、訪問者が自分の情報が Breached サイバー犯罪フォーラムのデータ侵害で漏洩したかどうかを確認できると発表しました。

「2022年11月、有名なハッキングフォーラム「BreachForums」自体が侵害されました。翌年後半、 Webサイトの運営者が逮捕され、サイトは法執行機関によって押収されました。」とHIBPの発表には書かれている。

「この侵害により、ユーザー名、IP アドレス、電子メール アドレス、サイト メンバー間のプライベート メッセージ、argon2 ハッシュとして保存されたパスワードを含む 212,000 件の記録が暴露されました。」

Breached は、世界中のハッキングされた企業、政府、組織から盗まれたデータをホスティング、漏洩、販売することで悪名高い、大規模なハッキングとデータ漏洩のフォーラムです。

2023年3月にFBIがサイト管理者ポムポムプリンを逮捕した後、残りの管理者であるバフォメット氏は、法執行機関もサイトのサーバーにアクセスできると考え、フォーラムの閉鎖を決定した。

その後、Baphomet はShiny Huntersとして知られる別のデータ侵害販売者とともに、新しい Breached Forums クローン (この記事では BFv2 と呼ばれます) を立ち上げました。

データの宝庫

Breached データベースは現在、「breached_db_person」という名前の攻撃者によって販売されており、潜在的な購入者にその信頼性を証明するためにデータベースを Have I Been Pwned と共有したと述べています。

また、既知の侵害アカウントが共有メンバーのテーブルにリストされていることも確認しました。

以前侵害された管理者バフォメット氏もデータベースの信頼性を認め、データベースの販売は「コミュニティを破壊しようとする継続的なキャンペーン」の一環であると警告した。

「データベースはHIBPに提出されただけでなく、少なくとも1人によって積極的に販売/漏洩されており、私たちのフォーラム上で販売/漏洩しようとさえしている」とバフォメット氏は警告した。

「そのため、すぐに公開されると確信しています。212,000 人のユーザーから判断すると、これは BFv1 が終了する数か月前の古いデータベースである可能性があります。フォーラムの最後のバックアップには 336,000 人のユーザーが含まれていました。 」

販売者は、法執行機関以外では、彼らとバフォメットとポムポムプリンだけがデータベースを所有していると述べた。

攻撃者は、侵害されたデータベースを 10 万ドルから 15 万ドルで 1 人に販売しており、そこには 2022 年 11 月 29 日に撮影されたデータベース全体のスナップショットが含まれていると述べています。

データベースは 2 GB で、プライベート メッセージ、支払いトランザクション、メンバー データベースを含むすべてのテーブルが含まれていると言われました。

侵害されたフォーラム SQL テーブル
侵害されたフォーラム SQL テーブル
ソース:

FBI はサーバーを押収した後、 Breached データベースにアクセスしたことをすでに明らかにしていますが、このデータはサイバーセキュリティ研究者や潜在的に他の脅威アクターにとって依然として貴重である可能性があります。

販売者の breached_db_person は、プライベート メッセージ テーブルにはフォーラム メンバーに関する多くの有罪情報が含まれており、「メンバー」データベースには、多くの脅威アクターが住居用 IP アドレスを使用して適切な運用セキュリティを遵守していないことを示す IP アドレスが含まれていると述べました。

プライベート メッセージ テーブルは、フォーラムのさまざまなメンバー間でプライベートに送信されたメッセージが含まれているため貴重であり、過去の攻撃、身元、その他の有用な情報に関する情報が明らかになる可能性があります。

支払いテーブルのサンプルは共有されており、フォーラム ランク (追加特典のあるメンバーシップ レベル) とクレジット (フォーラムで使用される通貨の形式) を購入するために行われた支払いに関する情報が含まれています。

これらの支払いは CoinBase Commerce または Sellix を通じて処理され、Coinbase トランザクションには暗号通貨アドレスや Coinbase 支払い ID などの機密情報を含む注文確認へのリンクが含まれていました。

この暗号通貨データは、暗号通貨アドレスを使用して脅威アクターを犯罪行為に結び付けることができるブロックチェーン分析会社にとって役立ちます。

Coinbase経由でBreached「God」フォーラムのランクを購入
Coinbase経由でBreached「God」フォーラムのランクを購入
ソース:

Breached とそのメンバーは、多くの企業の幅広いハッキング、恐喝の試み、ランサムウェア攻撃、盗まれたデータの漏洩に関与してきました。これらの侵害には、 DC Health LinkTwitterRobinHoodAcerActivisionなどが含まれます。

したがって、販売者は、サイバーセキュリティ企業からすでに連絡を受けており、独自の研究のためにデータのコピーを要求していると述べており、このプライベートメッセージは研究者にとって非常に貴重である可能性があります。

他の脅威アクターも興味を示しており、販売者は25万ドルのオファーを受けたと述べている。

データベースが最終的に売却されるかどうかを判断するのは時期尚早ですが、たとえ売却されるとしても、将来的にはデータベース全体が無料で漏洩しても不思議ではありません。

データ侵害は、最初は非公開で購入され、その後、データ盗難コミュニティ内での評判を高めるために公開されるのが一般的です。

つい最近、 押収された RaidForums データ侵害フォーラムでデータ侵害が発生し、新しい BreachedForums クローン (BFv2) のデータベースが漏洩しました。