金曜日には、 米国司法省 発表した 現在逮捕されている、悪名高いハッキング フォーラム BreachForums の管理者とされる人物は、「何百万人もの米国市民と、何百もの米国および外国の企業、組織、および政府機関」に属する個人情報の売買を促進したとされています。
声明の中で、検察官は、ニューヨーク州ピークスキルのコナー・フィッツパトリック、20歳、別名ポムポムプリンの逮捕を確認した. フィッツパトリックは、有罪判決を受けた場合、最大 5 年の禁固刑を条件として、アクセス デバイス詐欺を犯す共謀の罪で 1 件起訴されています。
BreachForums が、盗まれたデータやハッキングされたデータの売買を容易にしたことを証明するために、FBI の覆面捜査官は 5 セットのデータを購入しました。約 8,000 人の顧客のユーザー名、パスワード ハッシュ、電子メール アドレス、および 1,900 人の顧客の支払いカード情報。 名前のない米国を拠点とする投資会社から盗まれた別のデータセットには、少なくとも 500 万の電子メール アドレスが含まれています。 氏名、電子メールアドレス、電話番号、自宅住所、生年月日、社会保障番号、運転免許証番号、銀行名、ルーティング番号、口座番号など、「多数の米国人」の個人情報を含むもの。 約 1,500 万人の米国人の個人情報と銀行口座情報が含まれていた、同じ販売者からの別のもの。 もう 1 つのデータは、米国のヘルスケア企業から取得されました。
連邦捜査局は、ポムポムプリンを捕まえるためにいくつかの証拠を集めました。 まず彼らは、ポムポムプリンがブリーチフォーラムの前身であるレイドフォーラムにアクセスするために使用したIPアドレスを取得し、 2022 年 4 月に FBI によって押収された. フィッツパトリックの逮捕の 2 日前の 3 月 15 日付の宣誓供述書で、FBI 特別捜査官ジョン ロングマイアが書いたように、彼のインターネット サービス プロバイダーであるベライゾンによると、これらの IP アドレスのうち 9 つはフィッツパトリックに関連付けられていました。
ハッカー側の見事なスナフで、Longmire は、2 番目の証拠は Pompompurin 自身から来たと書いています。 Pompompurin 氏は、RaidForums の管理者とのチャットで、サイトに投稿されたデータ侵害に「私の古いメールの 1 つ」が含まれていないことに気付き、正規のデータ侵害通知サイト Have I Been Pwned で調べたと述べました。
ポムポムプリンはその後、「(明らかな理由で実際のメールを共有したくありませんが、このメールは私のものと同じケースのようです):[email protected]」と言ったにもかかわらず、エージェントは宣誓供述書にそのメールを書いた住所は確かにポムポムプリンでした。なぜなら、FBI が Google から、フィッツパトリックがチャットの数か月前にその住所を登録したことを示す記録を入手したからです。 宣誓供述書によると、ハッカーとされる人物は、そのメール アドレスと新しいアドレス「[email protected]」の両方にリンクされた Google Pay アカウントも持っていて、どちらも Fitzpatrick が所有する番号にリンクされていました。
さらに、エージェントは、Google からより多くの記録を取得したと書いています。これは、[email protected] が、Fitzpatrick という姓と別の電話番号を持つ人物に登録された IP アドレスにリンクされた回復メール アドレス [email protected] を持っていたことを示していました。エージェントは、フィッツパトリックの父親のものであると信じていると述べました。
その後、宣誓供述書によると、ポムポムプリンはいくつかの VPN を使用して自分の Gmail アカウントに接続し、そのうちのいくつかはインターネット上の他の場所での彼の活動と重複していました。
エージェントはまた、FBIが暗号通貨取引所Purse.ioから記録を取得したと述べました. 同社の記録によると、取引所への接続に使用された 4 つの IP アドレスは、[email protected] の Gmail アカウントと Pompompurin の RaidForums アカウントへの接続にも使用されていました。 さらに、その Purse.io アカウントは Conor Fitzpatrick という名前と「[email protected]」という電子メール アドレスで登録されていた、と宣誓供述書は述べています。
エージェントによると、これら 4 つの IP アドレスは VPN プロバイダーによって所有されており、ポムポムプリンは「[email protected]」アカウントへの接続にも使用していました。
宣誓供述書によると、別の VPN IP アドレスは、RaidForums アカウントの登録にも使用された Riseup メールアドレスに関連付けられた「pompompurin」という名前で Zoom アカウントにログインするためにも使用されました。
Purse.io の記録によると、Fitzpatrick のアカウントが「いくつかのアイテム」を購入し、Fitzpatrick の電話番号が Fitzpatrick のものであると既に確立していた住所に発送したことも示されています。 また、Purse.io への接続に使用された 9 つの IP アドレスのうち 7 つが、RaidForums の Pompompurin のアカウントへの接続にも使用されていました。 最後に、宣誓供述書によると、Purse.io アカウントは「Pompompurin が RaidForums の投稿で議論したビットコイン アドレスによって独占的に資金提供された」。
証拠はそれだけではありません。 宣誓供述書によると、RaidForums フォーラムの活動のデータベースで、連邦当局は、ポムポムプリンが、当局によって以前に特定されたのと同じ自宅住所で、フィッツパトリックの父親に登録された IP アドレスから彼のアカウントにアクセスしたことを確認しました。
同じ IP アドレスが、フィッツパトリックに関連付けられた iCloud アカウントにアクセスするために使用された、と Longmire は宣誓供述書に書いています。
さらに、Pompompurin が BreachForums の投稿で書いているように、RaidForums と BreachForums の Pompompurin というハンドルを持つアカウントは、おそらく同じ人物によって所有されている可能性が高いと Longmire は指摘しました。そこのユーザー」、および BreachForums の新しい Pompompurin アカウントは、「RaidForums の pompompurin アカウントによる過去の活動をほのめかしています。」
最後に、Longmire は、FBI が Verizon から Fitzpatrick のリアルタイムの携帯電話の GPS 位置情報を取得する令状を取得したと書いており、捜査官は Pompompurin が BreachForums にログインしているのに、彼の携帯電話の位置が彼の自宅にいることを示していたことを観察することができました。
連邦捜査局はまた、フィッツパトリックの自宅を監視し、エージェントはポムポムプリンのアカウントがフォーラムでアクティブであることに気づきました。
この証拠の山により、法執行機関はフィッツパトリックの家を捜索する令状を取得することができました。フィッツパトリックはエージェントと話をすることに同意し、「彼がポムポムプリン アカウントのユーザーであることを認め」、「彼はブリーチフォーラムを所有および管理し、以前はRaidForumsのポムポムプリンアカウント。
FBI は、コメントの要求にすぐに応答しませんでした。 フィッツパトリックの弁護士もコメントの要請に応じなかった.
皮肉なことに、Fitzpatrick は BreachForum を立ち上げたとき、この日が来ると思っていたのかもしれません。 の データナイトのウェブサイトでのインタビュー、インタビュアーは彼に尋ねました。 同じ運命に直面する可能性があることを知って、なぜそれを元に戻したいのですか [may be]?」
ポムポムプリンは「あまり気にしていません。 いつか逮捕されても驚かないだろうが、先ほど言ったように、私がいなくても再起動するために必要なすべてに完全にアクセスできる信頼できる人がいる.
司法省は金曜日の声明で、「BreachForums をオフラインにする原因となった混乱操作を行った」とも述べています。 コメントを求められたとき、DOJ のスポークスパーソン Joshua Stueve は詳細を明らかにすることを拒否した。 公開時点では、BreachForums にアクセスできず、「不正なゲートウェイ」というエラーが表示されていましたが、ドメインは依然としてサイトの現在の管理者の管理下にあるように見えました。
司法省がフィッツパトリックの逮捕を発表した後、彼の後を継いだバフォメットとして知られる人物は、フォーラムを閉鎖すると発表した.
金曜日、宣誓供述書がオンラインで流布された後、バフォメットは電報チャンネルにメッセージを書き、「私たちのコミュニティにとって今最も重要なことは、FBIが侵害されたデータベースへのアクセス権を持っていることが確認されたことを認識することです」と述べました。 「この時点で、ドキュメント全体は、Breached での時間全体にわたって私が言ったこと、および自分の OPSEC を処理するために誰かを信頼してはならないことを明確に示しています。 私は管理者としてこのような思い込みをしたことはありませんし、他の誰もそうすべきではありません。」
そのため、バフォメット氏は、「安全に適切に前進する方法を考えずに、単純に全員を同じコミュニティに戻すことは、基本的に死の罠です」と付け加えました。
ブリーチフォーラムに関する情報はありますか? あなたからの御一報をお待ちしています。 仕事以外のデバイスから、Signal (+1 917 257 1382) で Lorenzo Franceschi-Bicchierai に安全に連絡できます。 SecureDrop 経由で TechCrunch に連絡することもできます。