大事件
就在这两天,breach 论坛被FBI 捣毁了。对于外界来说Breach 论坛可能有些陌生,但对于安全圈,这个Breach 论坛,可谓是地上的丝绸之路。从2022年3月份开始,该论坛一直很活跃,从事各种黑产相关业务(个人信息贩卖,支付卡信息贩卖,偷盗设备贩卖等),虽然业务范围没有丝绸之路广,由于提供中间人保障制度,也颇受各大黑阔的认可。
大概还是去年,上海某GA 泄露的数据就是被发布在了上面,虽然至今也没有说明当时怎么泄露的,不过现在已经不重要了,因为Breach 论坛管理员Conor Brian Fitzpatrick 【美国一名20岁的小青年】被抓了,从2022.3 月份上线到2023.3.15 管理员被抓,Breach 论坛刚刚也就一年的存在时间,但是兜售的数据确实不少,根据FBI 的统计信息,截至2023.1.11 号论坛上存在着 879 套泄露的数据, 总记超过 140 亿条被泄露的个人信息。
整个溯源过程中,FBI OCE(online covert employee)通过购买大量的数据库泄露样本来跟踪分析,最终通过对 RaidForums 论坛(2022.2 月份被FBI 捣毁的另一个数据贩卖论坛)数据的分析得出结论,现在的Breach 论坛管理员 pompompurin 就是之前在RapidForums 论坛上使用同一id 的用户。
比较有意思的是,FBI 还公布了一份关于Fitzpatrick 为啥要建立Breach 论坛的独家采访,采访原始地址
https://dataknight[.]org/exclusive-interviewwith-pompompurin/
根据这段对话结合Breach 论坛上线的时间来看, Fitzpatrick 就是为了要取代被干掉的Rapid 论坛
FBI 从RapidForums 的聊天对话中发现了Fitzpatrick 的个人邮箱,至于为什么能发现其实也是个奇葩过程,话说有一天 Fitzpatrick 在Rapid 论坛购买了一套ai.type 泄露的数据库信息,结果在搜索自己邮箱conorfitzpatric[email protected] 的时候发现找不到,然后就去质问Rapid 论坛的管理员,这些数据不齐全,然后还告诉了管理员怎么搜索的,他的搜索语句就是下面这个。
grep -i 'conorfitzpatrick' aitype.txt
可能Fitzpatrick 当时也没有想到,有一天Rapid 论坛会被FBI 捣毁,没有任何防备的在论坛里放上了自己的全名私人邮箱,也是通过这一步骚操作,得以让FBI 顺藤摸瓜,先是让Google 提供上述邮箱的IP 访问记录,通过IP 访问记录找到了 Fitzpatrick 使用的VPN 节点,根据节点使用记录结合Apple 提供的信息定位到2部Iphone
IMSI: 311480405756028 IMEI: 353888106005342 (iPhone 11 Pro Max), 356697089909371 (iPhone 7 Plus)
接下来让服务商Verizon 提供原始IP 访问记录找到了 Fitzpatrick 在纽约的物理位置,最后匹配到IP 出口【74.101.151.4】,直接查到这个IP 就是登记在Fitzpatrick 父亲的名下,不知道这算不算实力坑爹了,层层抽丝剥茧找到了Fitzpatrick 本人。
在2023.3.15 ,法院正式让执法人员搜查了Fitzpatrick 在纽约的住所,在各种证据面前, Fitzpatrick 也是承认了自己是Breach 论坛的拥有者,同时也是该网站的管理员pompompurin,将要面临5年的牢狱之刑。
伴随着论坛拥有者Fitzpatrick 被捕,至此又一个黑产交易论坛落幕。
想了解更多案件详情详情的,可以通过下面方式获取,
领取方式:
关注"攻防之道" 公众号
回复 “breach” 获取