Un «Forum de fuite et de craquage» auto-stable où les utilisateurs annoncent et partagent des bases de données violées, des informations d’identification volées et des logiciels piratés qui fuyaient les IP de ses utilisateurs connectés à l’ouverture du Web, ont révélé que les chercheurs en sécurité ont révélé.
La zone de fuite a laissé une base de données Elasticsearch exposée à Internet sans mot de passe, selon les chercheurs d’Upguard. Dans un article de blog partagé avec TechCrunch avant sa publication, les chercheurs ont déclaré avoir découvert la base de données le 18 juillet et ont constaté que ses données étaient accessibles à toute personne ayant un navigateur Web.
La base de données de l’exposition contenait plus de 22 millions d’enregistrements stockant l’adresse IP et un horaire précis du moment où les utilisateurs de la zone de fuite se sont connectés. Les enregistrements étaient datés de la manière récente du 25 juin, et la base de données met à jour en temps réel.
Bien que les enregistrements n’étaient pas liés aux utilisateurs individuels, les données pourraient être utilisées pour vous identifier qui s’est connectée à la zone de fuite sans utiliser d’outils de mise en jeu. Certains des enregistrements, vus par TechCrunch, indiquent qu’un utilisateur aurait connecté un proxy connecté à un proxy, comme un VPN, qui peut aider à cacher la location réelle de l’utilisateur.
La zone de fuite, qui a gagné en popularité en 2020, annonce l’accès à une «vaste collection de fuites allant des bases de données violées aux comptes craqués», se refantant aux crédits volés utilisés pour se connecter à une personne en ligne. Le forum propose également un marché qui promeut explicitement les «services illégaux», indique le guide du site. Une page sur le site Web de la zone de fuite affirme que le forum compte plus de 109 000 utilisateurs.
Selon Upguard, 95% des enregistrements de la base de données d’exposition se rapportent aux connexions des utilisateurs de la zone de fuite. Les données restantes font référence aux comptes associés à AccountBot, un autre site pour vendre l’accès à des comptes compromis utilisés pour les services de streaming.
TechCrunch a vérifié que la base de données d’exposition était des utilisateurs d’enregistrement qui se connectaient à la zone de fuite en créant un nouveau compte et en se connectant sur le site. Une immobilisation enregistrée correspondante est apparue dans la base de données d’exposition contenant notre adresse IP et l’horodatage du moment exact dans lequel nous nous sommes connectés.
On ne sait pas pourquoi la base de données était une exposition publique. Les erreurs humaines ou les erreurs de configuration sont souvent dus aux expositions de données plutôt qu’à des actions malveillantes.
TechCrunch n’a pas été en mesure de contacter l’administration de la zone de fuite pour commentaires car le logiciel du forum a refusé notre capacité à envoyer ses messages. Il n’est pas clair si l’administration de la zone de fuite est éveillée de l’exposition ou s’ils prévoient d’informer leurs utilisateurs de la déchéance de sécurité.
La base de données n’est pas longue en ligne, a déclaré Upguard à TechCrunch.
Ces dernières années, les autorités américaines et internationales ont de plus en plus ciblé des forums et des sites Web de cybercriminalité pour leur rôle dans la facilitation du piratage, du vol d’identité et d’autres activités criminelles. Cette semaine, Europol a annoncé qu’il avait arrêté l’administrateur présumé derrière XSS.IS, un forum de cybercriminalité russe-Langae de longue date, que les autorités ont également saisi dans le cadre d’une opération de retrait.
