Der Cybercrime-Akteur Emo hat am Dienstagabend die persönlichen Daten von 212.414 Mitgliedern von BreachForums 1.0 durchsickern lassen.
Seit Dienstagabend steht auf Telegram die BreachForums v1-Datenbank zur Verfügung. Diese enthüllt eine Fülle von Daten wie Mitgliederinformationen, private Nachrichten, Adressen von Kryptowährungen sowie alle Forum-Beiträge. Die Motivation hinter dem Leak sind offenbar interne Streitigkeiten unter den Community-Mitgliedern. Auch wenn die Daten fast zwei Jahre alt sind, könnten die Leaks für betroffene User unter Umständen dennoch Gefahr bergen.
BreachForums verkörpert größten Datenbasar
BreachForums gilt als größte und bekannteste Plattform für Daten-Leaks. Das Portal ermöglicht den Kauf, Verkauf und die Weitergabe gestohlener Daten, aber auch Hacking-Tools. Das Board trat die Nachfolge des Urgesteins RaidForums an. Nach dessen Beschlagnahme 2022 vom FBI gründete Pompompurin BreachForums, um damit die entstandene Marktlücke zu schließen.
Allerdings verhafteten Bundesbeamte bereits am 15. März 2023 Conor Brian Fitzpatrick. Dieser agierte seit der Gründung des Forums am 16. März 2022 unter dem Pseudonym Pompompurin als ehemaliger Admin. Im Januar dieses Jahres hat man Pompompourin zu einer Freiheitsstrafe von 20 Jahren auf Bewährung unter strikten Auflagen verurteilt.
Seitdem waren bereits mehrere Versionen des Forums online und von den Strafverfolgungsbehörden beschlagnahmt. Die letzte Version rief ShinyHunters (inzwischen von einem neuen Administrator übernommen) ins Leben. Diese ist bis heute in Betrieb.
Daten von mehr als 200.000 Forumsmitgliedern offengelegt
Wie BleepingComputer informierte, stammen die geleakten Daten aus einem Datenbank-Backup. Fitzpatrick soll die Datenbank im Juli angeblich verkauft haben, als er gegen Kaution freigelassen wurde. Seitdem kursieren die Daten unter Cyberkriminellen, von denen einer später versuchte, sie für 150.000 Dollar zu verkaufen.
Gemäß BleepingComputer teilte der Verkäufer die zum Verkauf stehenden Daten auch mit Troy Hunt. Aktuell bestätigte Hunt BleepingComputer, dass diese dieselben von Emo geleakten Daten enthielten. Hunt fügte die Informationen damals dem Benachrichtigungsdienst für Datendiebstähle von Have I Been Pwned hinzu. Damit waren die Daten aber noch nicht der breiten Öffentlichkeit verfügbar.
Zunächst stellte Emo nur einige Daten zur Verfügung, nachdem man ihn von BreachForums ausgeschlossen hatte. Als die „internen Streitigkeiten unter den Community-Mitgliedern des BreachForums jedoch anhielten, gab Emo am Dienstagabend die gesamte Datenbank preis“. Konkret enthalten sind die Benutzer-ID der Forumsmitglieder, den Anmeldenamen, die E-Mail-Adresse, die Registrierungs-IP-Adresse und die zuletzt beim Besuch der Site verwendete IP-Adresse. BleepingComputer berichtet:
„Die Datenbank enthält sämtliche Forendaten, darunter die gehashten Passwörter der Mitglieder, private Nachrichten zwischen Benutzern, Kryptowährungsadressen, die zum Kauf von Forenguthaben verwendet wurden, und alle Beiträge auf der Site. Besonders schädlich sind die privaten Nachrichten, in denen die Bedrohungsakteure sich gegenseitig Nachrichten über ihre Exploits schicken, den Wunsch äußern, Netzwerkzugriff zu erwerben, oder Zugriff auf die neuesten gestohlenen Daten verlangen.“
Emo postete auf Telegram:
„Anbei finden Sie die vollständige BreachForum v1-Datenbank, alle Datensätze bis zum 29. November 2022. Diese Datenbank enthält alles: private Nachrichten, Threads, Zahlungsprotokolle, detaillierte IP-Protokolle für jeden Benutzer usw. Ursprünglich habe ich die Benutzertabelle nur weitergegeben, um zu verhindern, dass sie hinter den Kulissen von BreachForum-Mitarbeitern verkauft wird. Es ist jedoch offensichtlich, dass mittlerweile so viele Leute über die Datenbank verfügen, dass ihre Weitergabe unvermeidlich ist. Dadurch hat jeder die Möglichkeit, seine Aufzeichnungen zu überprüfen und Lücken in seinem OPSEC zu schließen.“
Durchgesickerte Daten relevant zum Aufspüren von Cybercrime-Akteuren
Obwohl man davon ausgehen kann, dass sich die Datenbank bereits nach der Forum-Beschlagnahmung in den Händen der Strafverfolgungsbehörden befindet, könnten die Daten für Sicherheitsforscher, die üblicherweise Profile von Bedrohungsakteuren erstellen, dennoch hilfreich sein. Wie BleepingComputer vermutet, könnten Sicherheitsforscher und Strafverfolgungsbehörden anhand der durchgesickerten Informationen BreachForums-Mitglieder mit anderen Websites, ihrem geografischen Standort und möglicherweise ihren echten Namen in Verbindung bringen.