El viernes, el El Departamento de Justicia de EE. UU. anunció que el presunto administrador del infame foro de hacking BreachForums, ahora arrestado, facilitó la venta y compra de información privada que pertenecía a «millones de ciudadanos estadounidenses y cientos de empresas, organizaciones y agencias gubernamentales estadounidenses y extranjeras».
En un comunicado, los fiscales confirmaron el arresto de Conor Fitzpatrick, de 20 años, también conocido como Pompompurin, de Peekskill, Nueva York. Fitzpatrick está acusado de un cargo de conspiración para cometer fraude con dispositivos de acceso, sujeto a un máximo de cinco años de prisión si es declarado culpable.
Para demostrar que BreachForums facilitó la venta y compra de datos robados o pirateados, los agentes encubiertos del FBI compraron cinco conjuntos de datos: uno de datos robados de una empresa de servicios de seguridad y alojamiento de Internet estadounidense no identificada, que contenía nombres, direcciones, números de teléfono, nombres de usuario, hash de contraseñas y direcciones de correo electrónico de aproximadamente 8000 clientes, así como información de tarjetas de pago de 1900 clientes; otro conjunto de datos robado de una empresa de inversión no identificada con sede en EE. UU., que contiene al menos 5 millones de direcciones de correo electrónico; uno que contiene la información privada de «un gran número de personas estadounidenses», incluidos nombres completos, direcciones de correo electrónico, números de teléfono, domicilios, fechas de nacimiento, números de seguro social, números de licencia de conducir, nombres de bancos, números de ruta y números de cuenta; otro del mismo vendedor, que contenía información privada e información de cuentas bancarias de alrededor de 15 millones de estadounidenses; y otro conjunto de datos tomados de una compañía de atención médica de EE. UU.
Los federales reunieron varias pruebas para atrapar a Pompompurin. Primero obtuvieron las direcciones IP que utilizó Pompompurin para acceder a RaidForums, el predecesor de BreachForums, que fue incautado por el FBI en abril de 2022. Nueve de esas direcciones IP estaban asociadas con Fitzpatrick, según su proveedor de servicios de Internet, Verizon, como agente especial del FBI. John Longmire escribió en la declaración jurada fechada el 15 de marzo, dos días antes del arresto de Fitzpatrick.
En una metedura de pata espectacular por parte del hacker, Longmire escribió que la segunda prueba procedía del propio Pompompurin. En una conversación con el administrador de RaidForums, Pompompurin dijo que notó que una violación de datos publicada en el sitio no incluía «uno de mis correos electrónicos antiguos», que buscó en el sitio legítimo de notificación de violación de datos Have I Been Pwned.
Aunque Pompompurin luego dijo «(No quiero compartir mi correo electrónico real por razones obvias, pero este correo electrónico parece tener el mismo caso que el mío): [email protected]», el agente escribió en la declaración jurada que ese correo electrónico La dirección era de hecho Pompompurin porque el FBI obtuvo registros de Google que mostraban que Fitzpatrick registró esa dirección meses antes de ese chat. El presunto pirata informático también tenía cuentas de Google Pay vinculadas tanto a esa dirección de correo electrónico como a una más nueva, «[email protected]», ambas vinculadas a un número propiedad de Fitzpatrick, según la declaración jurada.
Además, el agente escribió que obtuvo más registros de Google, que mostraban que [email protected] tenía una dirección de correo electrónico de recuperación [email protected] vinculada a una dirección IP registrada a nombre de alguien con el apellido Fitzpatrick y un número de teléfono diferente, que el agente dijo que creía que pertenecía al padre de Fitzpatrick.
Luego, según la declaración jurada, Pompompurin usó varias VPN para conectarse a su cuenta de Gmail, algunas de las cuales se superponen con su actividad en otros lugares de Internet.
El agente también dijo que el FBI obtuvo registros del intercambio de criptomonedas Purse.io. Los registros de la compañía revelaron que cuatro de las direcciones IP utilizadas para conectarse al intercambio también se usaron para conectarse a la cuenta de Gmail [email protected] y la cuenta RaidForums de Pompompurin. Además, esa cuenta de Purse.io se registró con el nombre de Conor Fitzpatrick y la dirección de correo electrónico “[email protected]”, dice la declaración jurada.
Esas cuatro direcciones IP, según el agente, eran propiedad de proveedores de VPN, que Pompompurin también utilizó para conectarse a la cuenta “[email protected]”.
También se usó otra dirección IP de VPN para iniciar sesión en una cuenta de Zoom con el nombre «pompompurin» asociada con una dirección de correo electrónico de Riseup que también se usó para registrar su cuenta de RaidForums, según la declaración jurada.
Los registros de Purse.io también mostraron que la cuenta de Fitzpatrick compró «varios artículos» y los envió a su dirección con el número de teléfono que los federales ya habían establecido que era suyo. Además, siete de las nueve direcciones IP utilizadas para conectarse a Purse.io también se usaron para conectarse a la cuenta de Pompompurin en RaidForums. Y, finalmente, la cuenta de Purse.io «fue financiada exclusivamente por una dirección de Bitcoin que Pompompurin había discutido en publicaciones en RaidForums», según la declaración jurada.
La evidencia no se detiene allí. En una base de datos de la actividad del foro de RaidForums, los federales vieron que Pompompurin accedió a su cuenta desde una dirección IP registrada a nombre del padre de Fitzpatrick en la misma dirección residencial previamente identificada por las autoridades, según la declaración jurada.
Esa misma dirección IP se usó para acceder a una cuenta de iCloud asociada con Fitzpatrick, escribió Longmire en la declaración jurada.
Además, Longmire señaló que las cuentas con el identificador Pompompurin en RaidForums y BreachForums probablemente eran propiedad de la misma persona, como escribió Pompompurin en una publicación en BreachForums: «si usaste RaidForums, lo más probable es que me recuerdes, yo era uno de los más activos». usuarios allí”, y la nueva cuenta de Pompompurin en BreachForums “aludía a la actividad pasada de la cuenta de Pompompurin en RaidForums”.
Finalmente, Longmire escribió que el FBI obtuvo una orden para obtener la ubicación GPS en tiempo real del teléfono celular de Fitzpatrick de Verizon, lo que permitió a los agentes observar que Pompompurin había iniciado sesión en BreachForums mientras que la ubicación de su teléfono mostraba que estaba en su casa.
Los federales también vigilaron a Fitzpatrick en su casa mientras los agentes notaron que la cuenta de Pompompurin estaba activa en el foro.
Este tesoro de evidencia permitió que las fuerzas del orden público obtuvieran una orden para registrar la casa de Fitzpatrick, donde accedió a hablar con los agentes y «admitió que él es el usuario de la cuenta pompompurin» y que «es dueño y administra BreachForums y anteriormente operó el cuenta pompompurin en RaidForums.”
El FBI no respondió de inmediato a una solicitud de comentarios. El abogado de Fitzpatrick tampoco respondió a una solicitud de comentarios.
Irónicamente, Fitzpatrick pudo haber pensado que llegaría este día cuando lanzó BreachForums. En una entrevista en el sitio web de Data Knight, el entrevistador le preguntó: “¿No crees que hay una razón por la que el FBI eliminó RaidForums? ¿Por qué querrías traerlo de vuelta sabiendo que puedes enfrentarte al mismo destino sea lo que sea? [may be]?”
Pompompurin respondió: “Realmente no me molesta. Si algún día me arrestan, tampoco me sorprendería, pero como dije, tengo una persona de confianza que tendrá acceso completo a todo lo necesario para relanzarlo sin mí”.
El Departamento de Justicia dijo en su declaración del viernes que también había “realizado una operación de interrupción que provocó que BreachForums se desconectara”. Cuando se le contactó para hacer comentarios, el portavoz del Departamento de Justicia, Joshua Stueve, se negó a dar más detalles. En el momento de la publicación, BreachForums era inaccesible y mostraba un error que decía «puerta de enlace incorrecta», pero el dominio aún parecía estar bajo el control del administrador actual del sitio.
Tras el anuncio del Departamento de Justicia del arresto de Fitzpatrick, la persona que lo sustituyó, conocida como Baphomet, anunció que cerraría el foro.
El viernes, después de que la declaración jurada circulara en línea, Baphomet escribió un mensaje en un canal de Telegram, diciendo que «lo más importante en este momento de nuestra comunidad es saber que ahora se ha confirmado que el FBI tiene acceso a la base de datos violada», y “En este punto, todo el documento mostrará claramente lo que he dicho durante todo mi tiempo en Breached, y que no debe confiar en nadie para manejar su propio OPSEC. Nunca hice esta suposición como administrador, y nadie más debería haberlo hecho”.
Es por eso que Baphomet agregó: «Simplemente volver a amontonar a todos en la misma comunidad sin pensar en cómo avanzar adecuadamente de manera segura es básicamente una trampa mortal».
¿Tienes información sobre BreachForums? Nos encantaría saber de usted. Desde un dispositivo que no sea de trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a través de Wickr, Telegram and Wire @lorenzofb, o enviar un correo electrónico a [email protected]. También puede comunicarse con TechCrunch a través de SecureDrop.