Op vrijdag en Het Amerikaanse ministerie van Justitie heeft aangekondigd dat de vermeende beheerder van het nu gearresteerde beruchte hackforum BreachForums de verkoop en aankoop van privé-informatie van “miljoenen Amerikaanse burgers en honderden Amerikaanse en buitenlandse bedrijven, organisaties en overheidsinstanties” heeft gefaciliteerd.
Aanklagers bevestigden in een verklaring de arrestatie van Connor Fitzpatrick, 20, ook wel bekend als Bomborine, uit Peekskill, New York. Fitzpatrick wordt beschuldigd van samenzwering om fraude met toegangsapparatuur te plegen, met een maximum van vijf jaar gevangenisstraf indien veroordeeld.
Om te bewijzen dat BreachForums het kopen en verkopen van gestolen of gehackte gegevens mogelijk maakte, kochten undercoveragenten van de FBI vijf sets gegevens: verkeer en e-mailadressen voor bijna 8.000 klanten, evenals betaalkaartinformatie voor 1.900 klanten; een andere set gegevens die is gestolen van een naamloze Amerikaanse investeringsmaatschappij, die ten minste 5 miljoen e-mailadressen bevat; een met de privégegevens van “grote aantallen Amerikaanse personen”, inclusief volledige namen, e-mailadressen, telefoonnummers, huisadressen, geboortedata, burgerservicenummers, rijbewijsnummers, banknamen, routeringsnummers en rekeningnummers; een andere van dezelfde verkoper, die de privé- en bankrekeninggegevens van ongeveer 15 miljoen Amerikanen bevat; En een andere set gegevens is van een Amerikaans zorgbedrijf.
De FBI verzamelde verschillende bewijsstukken dat de Bombombourine was buitgemaakt. Eerst verkregen ze de IP-adressen die Bomburen gebruikte om toegang te krijgen tot RaidForums, de voorloper van BreachForums, dat de FBI in april 2022 in beslag nam. Negen van die IP-adressen waren gekoppeld aan Fitzpatrick, volgens zijn internetprovider Verizon, die optrad als speciaal agent voor het bureau Federale onderzoeken. John Longmire schreef in de beëdigde verklaring van 15 maart, twee dagen voor de arrestatie van Fitzpatrick.
Op een verrassend moment van de kant van de hacker schrijft Longmire dat het tweede deel van de aanwijzing van Pompompurin zelf kwam. In een gesprek met een RaidForums-beheerder zei Bombombourine dat hij een datalek op de site had opgemerkt dat niet “een van mijn oude e-mails” betrof, die hij opzocht op de legitieme datalekmeldingssite Have I Been Pwned.
Hoewel Pompompurin toen zei: “(Ik wil mijn werkelijke e-mail om voor de hand liggende redenen niet delen, maar deze e-mail lijkt dezelfde status te hebben als de mijne): conorfitzpatrick02@gmail.com, de agent schreef in de beëdigde verklaring dat dit e-mailadres was inderdaad Pompompurin Omdat de FBI gegevens van Google heeft verkregen waaruit blijkt dat Fitzpatrick dat adres maanden voor die chat had geregistreerd. De vermeende hacker had ook Google Pay-accounts gekoppeld aan dat e-mailadres, evenals een nieuw account, “conorfitzpatrick2002@gmail.com”, beide gekoppeld naar een nummer Het is eigendom van Fitzpatrick, volgens de beëdigde verklaring.
Verder schreef de agent dat het meer gegevens van Google had verkregen, waaruit bleek dat conorfitzpatrick2002@gmail.com een herstel-e-mailadres funmc59tm@gmail.com had dat was gekoppeld aan een geregistreerd IP-adres van iemand met de achternaam Fitzpatrick en een ander telefoonnummer , waarvan de agent zei dat het van Fitzpatrick’s vader zou zijn.
Volgens de beëdigde verklaring gebruikte Pompompurin vervolgens verschillende VPN’s om verbinding te maken met zijn Gmail-account, waarvan sommige zijn activiteit elders op internet verstoorden.
De agent zei ook dat de FBI gegevens had verkregen van cryptocurrency-uitwisseling Purse.io. Uit bedrijfsgegevens bleek dat vier van de IP-adressen die werden gebruikt om verbinding te maken met de centrale, ook werden gebruikt om verbinding te maken met het Gmail-account conorfitzpatrick2002@gmail.com en het Popompurin RaidForums-account. Bovendien was dit Purse.io-account geregistreerd met de naam en het e-mailadres van Conor Fitzpatrick “conorfitzpatrick2002@gmail.com”, aldus de beëdigde verklaring.
Deze vier IP-adressen waren volgens de proxy eigendom van de VPN-providers die Pompompurin ook gebruikte om verbinding te maken met het account “conorfitzpatrick2002@gmail.com”.
Een ander VPN-IP-adres werd ook gebruikt om in te loggen op het Zoom-account onder de naam “pompompurin”, gekoppeld aan het Riseup-e-mailadres dat ook werd gebruikt om in te loggen op het RaidForums-account, volgens de beëdigde verklaring.
Records van Purse.io toonden ook aan dat Fitzpatrick’s account “verschillende items” had gekocht en naar zijn adres had laten verzenden met het telefoonnummer dat de FBI al als het zijne had geïdentificeerd. Zeven van de negen IP-adressen die werden gebruikt om verbinding te maken met Purse.io, werden ook gebruikt om verbinding te maken met het account van Pompompurin op RaidForums. En tot slot werd het Purse.io-account gefinancierd “uitsluitend door een Bitcoin-adres dat Bumborin heeft besproken in berichten op RaidForums”, aldus de beëdigde verklaring.
De gids stopt daar niet. In de activiteitendatabase van het RaidForums-forum zagen de FBI dat Bomburen toegang had tot zijn account vanaf een IP-adres dat was geregistreerd bij Fitzpatricks vader op hetzelfde huisadres dat de autoriteiten eerder hadden geïdentificeerd, volgens de beëdigde verklaring.
Longmire schreef in de beëdigde verklaring dat hetzelfde IP-adres werd gebruikt om toegang te krijgen tot het iCloud-account dat aan Fitzpatrick was gekoppeld.
Bovendien merkte Longmire op dat de accounts met het handvat Pompompurin op RaidForums en BreachForums waarschijnlijk eigendom waren van dezelfde persoon, zoals Pompompurin schreef in een post op BreachForums: “Als je RaidForums gebruikt, zul je me waarschijnlijk herinneren, ik was een van de meest actieve gebruikers die er zijn,” en het nieuwe Pompurin-account op BreachForums” verwijst naar eerdere activiteit van het pompurin-account op RaidForums.”
Ten slotte, schrijft Longmire, kreeg de FBI een bevel om de realtime GPS-locatie van Fitzpatricks mobiele telefoon van Verizon te verkrijgen, waardoor agenten konden controleren of Pompompurin inlogde op BreachForums terwijl zijn telefoonlocatie aantoonde dat hij bij hem thuis was.
De FBI hield Fitzpatrick ook bij hem thuis in de gaten, terwijl de agenten merkten dat Bomburen’s account actief was op het forum.
Door deze hoeveelheid bewijsmateriaal kon de politie een huiszoekingsbevel verkrijgen voor het huis van Fitzpatrick, aangezien hij ermee instemde om met agenten te praten en “toegaf een pompurin-accountgebruiker te zijn”, en dat hij “eigenaar was van en exploiteerde van BreachForums en eerder een pompurin-account op RaidForums had. “.
De FBI reageerde niet onmiddellijk op een verzoek om commentaar. De advocaat van Fitzpatrick reageerde niet op een verzoek om commentaar.
Ironisch genoeg dacht Fitzpatrick waarschijnlijk dat die dag zou komen toen hij BreachForums lanceerde. In een interview op Data Knight, toen de interviewer hem vroeg: “Denk je niet dat er een reden is waarom de FBI RaidForums heeft verwijderd? Waarom zou je het terug willen nemen, wetende dat je hetzelfde lot zou kunnen ondergaan (het zou kunnen zijn) “.
Pomporine antwoordde: “Het stoort me niet echt. Als ik ooit betrapt word, zou het me ook niet verbazen, maar zoals ik al zei, ik heb een vertrouwd persoon met volledige toegang tot alles wat nodig is om het weer aan het werk te krijgen zonder mij. .”
Het ministerie van Justitie zei vrijdag in een verklaring dat het ook “een storing heeft veroorzaakt waardoor BreachForums is gestopt”. Toen hij werd bereikt voor commentaar, weigerde de woordvoerder van het ministerie van Justitie, Joshua Steif, verder in te gaan. Op het moment van posten was BreachForums niet bereikbaar, met de foutmelding “slechte gateway”, maar het domein leek nog steeds onder controle te staan van de huidige beheerder van de site.
Nadat het ministerie van Justitie de arrestatie van Fitzpatrick had aangekondigd, kondigde de persoon die zijn functie overnam, bekend als Baphomet, aan dat hij het forum zou sluiten.
Op vrijdag, nadat de beëdigde verklaring online was geplaatst, schreef Baphomet een bericht op zijn Telegram-kanaal waarin hij zei: “Het belangrijkste in onze gemeenschap op dit moment is te beseffen dat nu is bevestigd dat de FBI toegang heeft tot de gehackte database”, en , “Op dit punt zal het hele document duidelijk laten zien wat ik tijdens mijn tijd in Breach heb gezegd, en dat je niemand moet vertrouwen om met je OPSEC om te gaan. Ik heb die veronderstelling als moderator nooit gemaakt, en niemand anders zou dat ook moeten doen.”
Dit is de reden waarom, voegde Baphomet eraan toe, “Iedereen gewoon terug in dezelfde gemeenschap plaatsen zonder na te denken over hoe correct en veilig te werk te gaan, is in wezen een dodelijke valstrik.”
Heeft u informatie over BreachForums? We zouden graag van je horen. Vanaf een niet-werkapparaat kunt u veilig contact opnemen met Lorenzo Franceschi-Bicchierai via Signal op +1917 257 1382, via Wickr, Telegram en Wirelorenzofb, of e-mail lorenzo@techcrunch.com. U kunt ook contact opnemen met TechCrunch via SecureDrop.