Hacker holding his hands up

2022年に開催されたハッキング・フォーラム「BreachForums v1」の非公開メンバー情報がネット上に流出し、脅威関係者や研究者が同フォーラムのユーザーを把握できるようになった。

複数のフォーラムがBreachForumsという名前で運営されており、いずれも侵害された企業から盗んだデータを取引、販売、リークするコレクターや脅威行為者のコミュニティを構築することに専念している。

最初に有名になったデータ漏洩フォーラムはRaidForumsで、2022年にFBIがこれを押収した後、Pompompurinとして知られる脅威アクターがその空白を埋めるためにBreachForums(別名Breached)というリメイク版を立ち上げた。

このフォーラムは瞬く間に注目を集め、脅威行為者は米国議会の医療プロバイダーであるD.C. Health LinkのデータやRobinHood公開されたAPIを使用して流出したTwitterのデータなど、盗まれた大量のデータを堂々と流出させた。

しかし、D.C.ヘルスリンクのデータが流出した直後の2023年3月、FBIはフォーラムのオーナーであるコナー・フィッツパトリック(別名ポンポンプリン)を逮捕した。

その後すぐに、このフォーラムの複数のインスタンスが作成され、法執行機関によって押収された。最新のインスタンスはシャイニーハンターズによって立ち上げられ(現在は新しい管理者に引き継がれた)、現在も運営されている。

複数のサイトが同じ名前を使用しているため、最近流出したデータは、2022年にフィッツパトリックによって最初に作成され、最終的に2024年にFBIによって押収されたサイトであるBreachForums 1.0と呼ぶことにする。

流出したBreachForums 1.0のデータ

先週、Emoという名の有名な脅威アクターが、BreachForums 1.0のメンバー212,414人の個人情報を流出させた。

エモによると、このデータはフィッツパトリックから直接入手したもので、保釈中の2023年6月に4000ドルで売却しようとしたとされている。エモによると、データは最終的に3人の脅威行為者によって購入された。

フィッツパトリックは2024年1月、監視されていないコンピューターやVPNの使用など、裁判前の釈放条件に違反したとして再び逮捕された。これがBreachForumsのデータを売ろうとしたことと関係があるかどうかは不明である。

Message shared by Emo on Telegram
EmoがTelegramでシェアしたメッセージ
ソースは こちら:

2023年7月、’breach_db_person’という人物が、ハッキング・フォーラムでフォーラムのデータベースを10万~15万ドルで売ろうとしました。

この売り手はトロイ・ハントとも売り物件のデータを共有し、エモが流出させたのと同じデータや他のデータベース記録も含まれていると伝えた。ハントはその後、この情報をHave I Been Pwnedデータ漏洩通知サービスに追加した。

エモは、このデータは2022年11月のBreachForumsデータベースのバックアップによるもので、フィッツパトリックのMEGAアカウントにアップロードされた最後のものだと語った。

流出したデータには、フォーラムメンバーのユーザーID、ログイン名、電子メールアドレス、登録IPアドレス、サイトを訪問した際に最後に使用されたIPアドレスが含まれている。

はこのデータベースを分析し、オリジナルのBreachForumsにアカウントを持っていた多くの研究者の正確な情報が含まれていることを確認した。

このデータは、MyBBフォーラムのデータベース形式ではなく、タブ区切りの値としてエクスポートされているため、手動でエクスポートされたものと思われます。

フォーラムが押収された後、このデータベースはすでに法執行機関の手に渡っている可能性が高いが、脅威行為者のプロファイルを一般的に構築するセキュリティ研究者にとっては、このデータはまだ役に立つ可能性がある。

流出した電子メールアドレスとIPアドレスを使って、研究者と法執行機関はBreachForumsのメンバーを他のサイト、地理的な場所、そして潜在的には実名に結びつけることができる。

RaidForumsのデータベースには478,000人のメンバーのデータが含まれており、2023年5月に同様にオンラインで流出した