El viernes, y El Departamento de Justicia de EE. UU. anunció que el presunto administrador del notorio foro de piratería BreachForums, ahora arrestado, facilitó la venta y compra de información privada perteneciente a “millones de ciudadanos estadounidenses y cientos de empresas, organizaciones y agencias gubernamentales estadounidenses y extranjeras”.
Los fiscales confirmaron en un comunicado el arresto de Connor Fitzpatrick, de 20 años, también conocido como Bomborine, de Peekskill, Nueva York. Fitzpatrick está acusado de conspiración para cometer fraude con dispositivos de acceso, sujeto a un máximo de cinco años de prisión si es declarado culpable.
Para demostrar que BreachForums facilitó la compra y venta de datos robados o pirateados, agentes encubiertos del FBI compraron cinco conjuntos de datos: tráfico y direcciones de correo electrónico de casi 8000 clientes, así como información de tarjetas de pago de 1900 clientes; otro conjunto de datos robados de una empresa de inversión estadounidense no identificada, que contiene al menos 5 millones de direcciones de correo electrónico; uno que contiene la información privada de “un gran número de personas estadounidenses”, incluidos nombres completos, direcciones de correo electrónico, números de teléfono, domicilios, fechas de nacimiento, números de seguro social, números de licencia de conducir, nombres de bancos, números de ruta y números de cuenta; otra del mismo proveedor, que contiene información privada y de cuentas bancarias de aproximadamente 15 millones de estadounidenses; Y otro conjunto de datos es de una compañía de atención médica estadounidense.
Los federales reunieron varias pruebas de que el Bombombourine había sido capturado. Primero, obtuvieron las direcciones IP que Bomburen usó para acceder a RaidForums, el predecesor de BreachForums, que el FBI incautó en abril de 2022. Nueve de esas direcciones IP estaban asociadas con Fitzpatrick, según su proveedor de servicios de Internet Verizon, actuando como agente especial para la oficina Investigaciones federales. John Longmire escribió en la declaración jurada fechada el 15 de marzo, dos días antes del arresto de Fitzpatrick.
En un momento sorprendente por parte del hacker, Longmire escribe que la segunda parte de la pista provino del mismo Pompompurin. En una conversación con un administrador de RaidForums, Bombombourine dijo que notó una violación de datos publicada en el sitio que no involucraba “uno de mis correos electrónicos antiguos”, que buscó en el sitio legítimo de notificación de violación de datos Have I Been Pwned.
Aunque Pompompurin luego dijo “(No quiero compartir mi correo electrónico real por razones obvias, pero este correo electrónico parece tener el mismo estado que el mío): [email protected], el agente escribió en la declaración jurada que esta dirección de correo electrónico era de hecho, Pompompurin porque el FBI obtuvo registros de Google que muestran que Fitzpatrick registró esa dirección meses antes de ese chat. a un número Es propiedad de Fitzpatrick, según la declaración jurada.
Además, el agente escribió que había obtenido más registros de Google, que mostraban que [email protected] tenía una dirección de correo electrónico de recuperación [email protected] asociada con una dirección IP registrada de alguien con el apellido Fitzpatrick y un número de teléfono diferente. , que el agente dijo que se cree que pertenece al padre de Fitzpatrick.
Luego, según la declaración jurada, Pompompurin usó varias VPN para conectarse a su cuenta de Gmail, algunas de las cuales interfirieron con su actividad en otras partes de Internet.
El agente también dijo que el FBI obtuvo registros del intercambio de criptomonedas Purse.io. Los registros de la empresa revelaron que cuatro de las direcciones IP utilizadas para conectarse al intercambio también se usaron para conectarse a la cuenta de Gmail [email protected] y la cuenta de Popompurin RaidForums. Además, esta cuenta de Purse.io se registró con el nombre y la dirección de correo electrónico de Conor Fitzpatrick “con[email protected]”, según la declaración jurada.
Estas cuatro direcciones IP eran, según el proxy, propiedad de los proveedores de VPN que Pompompurin también utilizó para conectarse a la cuenta “[email protected]”.
También se usó otra dirección IP de VPN para iniciar sesión en la cuenta de Zoom con el nombre “pompompurin” asociada con la dirección de correo electrónico de Riseup que también se usó para iniciar sesión en la cuenta de RaidForums, según la declaración jurada.
Los registros de Purse.io también mostraron que la cuenta de Fitzpatrick compró “varios artículos” y los envió a su dirección con el número de teléfono que los federales ya habían identificado como suyo. Siete de las nueve direcciones IP utilizadas para conectarse a Purse.io también se utilizaron para conectarse a la cuenta de Pompompurin en RaidForums. Y finalmente, la cuenta de Purse.io fue financiada “exclusivamente por una dirección de Bitcoin que Bumborin ha discutido en publicaciones en RaidForums”, según la declaración jurada.
La guía no se detiene ahí. En la base de datos de actividad del foro de RaidForums, los federales vieron que Bomburen accedió a su cuenta desde una dirección IP registrada a nombre del padre de Fitzpatrick en la misma dirección que las autoridades habían identificado previamente, según la declaración jurada.
Longmire escribió en la declaración jurada que se usó la misma dirección IP para acceder a la cuenta de iCloud asociada con Fitzpatrick.
Además, Longmire señaló que las cuentas con el identificador Pompompurin en RaidForums y BreachForums probablemente eran propiedad de la misma persona, como escribió Pompompurin en una publicación en BreachForums: “Si usa RaidForums, lo más probable es que me recuerde, fui uno de los usuarios más activos”, y la nueva cuenta de Pompurin en BreachForums” se refiere a la actividad anterior de la cuenta de Pompurin en RaidForums”.
Finalmente, escribe Longmire, el FBI obtuvo una orden para obtener la ubicación GPS en tiempo real del teléfono celular de Fitzpatrick de Verizon, lo que permitió a los agentes monitorear que Pompompurin inició sesión en BreachForums mientras la ubicación de su teléfono mostraba que estaba en su casa.
Los federales también monitorearon a Fitzpatrick en su casa mientras los agentes notaron que la cuenta de Bomburen estaba activa en el foro.
Este cuerpo de evidencia permitió a las fuerzas del orden obtener una orden de registro para la casa de Fitzpatrick, ya que accedió a hablar con los agentes y “admitió ser un usuario de la cuenta pompurin”, y que “era propietario y operaba BreachForums y anteriormente operaba una cuenta pompurin en RaidForums”. “.
El FBI no respondió de inmediato a una solicitud de comentarios. El abogado de Fitzpatrick no respondió a una solicitud de comentarios.
Irónicamente, Fitzpatrick probablemente pensó que ese día llegaría cuando lanzó BreachForums. En una entrevista en Data Knight, cuando el entrevistador le preguntó: “¿No crees que hay una razón por la que el FBI eliminó RaidForums? ¿Por qué querrías recuperarlo sabiendo que podrías enfrentar el mismo destino sin importar qué?” [may be]. “
Pomporine respondió: “Realmente no me molesta. Si alguna vez me atrapan, tampoco me sorprendería, pero como dije, tengo una persona de confianza con acceso total a todo lo que se necesita para que funcione de nuevo sin mí”. .”
El Departamento de Justicia dijo en un comunicado el viernes que también llevó a cabo “una interrupción que provocó el cese de BreachForums”. Cuando se le contactó para hacer comentarios, el portavoz del Departamento de Justicia, Joshua Steif, se negó a dar más detalles. En el momento de la publicación, no se podía acceder a BreachForums, con un mensaje de error que decía “puerta de enlace incorrecta”, pero el dominio aún parecía estar bajo el control del administrador actual del sitio.
Después de que el Departamento de Justicia anunciara el arresto de Fitzpatrick, la persona que asumió su cargo, conocida como Baphomet, anunció que cerraría el foro.
El viernes, después de que la declaración jurada se publicara en línea, Baphomet escribió un mensaje en su canal de Telegram, diciendo que “lo más importante en nuestra comunidad en este momento es darse cuenta de que ahora se ha confirmado que el FBI tiene acceso a la base de datos pirateada”, y , “En este punto, todo el documento mostrará claramente lo que dije durante mi tiempo en Breach, y que no debe confiar en nadie para que se ocupe de su OPSEC. Nunca hice esa suposición como moderador, ni nadie más debería hacerlo”.
Es por eso que, agregó Baphomet, “Simplemente apilar a todos de nuevo en la misma comunidad sin pensar en cómo proceder de manera adecuada y segura es esencialmente una trampa mortal”.
¿Tienes información sobre BreachForums? Nos encantaría saber de usted. Desde un dispositivo que no sea de trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1917 257 1382, a través de Wickr, Telegram y Wirelorenzofb, o enviar un correo electrónico a [email protected]. También puede comunicarse con TechCrunch a través de SecureDrop.