Conor Brian Fitzpatrick, o fundador de 20 anos e administrador do agora extinto BreachForums, foi formalmente acusado nos EUA de conspiração para cometer fraude de dispositivos de acesso.
Se comprovada a culpa, Fitzpatrick, que usava o apelido online "pompompurin", enfrenta uma pena máxima de até cinco anos de prisão.
Ele foi preso em 15 de março de 2023.
"O cibercrime vitimiza e rouba informações financeiras e pessoais de milhões de pessoas inocentes", disse a procuradora dos EUA Jessica D. Aber para o Distrito Leste da Virgínia.
"Esta prisão envia uma mensagem direta aos criminosos cibernéticos: sua conduta exploradora e ilegal será descoberta e você será levado à justiça".
O desenvolvimento vem dias depois que Baphomet, o indivíduo que assumiu as responsabilidades do BreachForums, fechou o site, citando preocupações de que a aplicação da lei possa ter obtido acesso à sua backend.
O Departamento de Justiça (DoJ) desde então confirmou que realizou uma operação de interrupção que fez com que a plataforma criminal ilícita saísse do ar.
O BreachForums, segundo Fitzpatrick, foi criado em março de 2022 para preencher o vazio deixado pelo RaidForums, que foi derrubado um mês antes como parte de uma operação internacional de aplicação da lei.
Ele servia como um mercado para a troca de dados hackeados ou roubados, incluindo informações de contas bancárias, números de Seguro Social, ferramentas de hacking e bancos de dados contendo informações de identificação pessoal (PII).
Em novos documentos judiciais divulgados em 24 de março de 2023, ficou evidente que agentes disfarçados que trabalham para o Federal Bureau of Investigation (FBI) dos EUA compraram cinco conjuntos de dados oferecidos à venda, com Fitzpatrick agindo como intermediário para concluir as transações.
As ligações de Fitzpatrick com pompompurin vieram de nove endereços IP associados ao provedor de serviços de telecomunicações Verizon que ele usou para acessar a conta no RaidForums e uma grande falha de OPSEC por parte do réu.
"Os registros do RaidForums também continham [...] comunicação entre pompompurin e omnipotent [o administrador do RaidForums] em ou por volta de 28 de novembro de 2020, na qual pompompurin menciona especificamente a omnipotent que havia procurado pelo endereço de e-mail conorfitzpatrick02 gmail e nome 'conorfitzpatrick' dentro de um banco de dados de dados violados de 'Ai type'", de acordo com o depoimento.
Vale ressaltar que o aplicativo de teclado para Android Ai.type sofreu uma violação de dados em dezembro de 2017, levando ao vazamento acidental de e-mails, números de telefone e locais referentes a 31 milhões de usuários.
Dados adicionais obtidos do Google mostraram que Fitzpatrick registrou uma nova conta do Google com o endereço de e-mail conorfitzpatrick2002 gmail em maio de 2019 para substituir o conorfitzpatrick02 gmail, que foi encerrado em abril de 2020.
Além disso, uma pesquisa por [email protected] no serviço de notificação de violação de dados Have I Been Pwned (HIBP) corrobora o fato de que o antigo endereço de e-mail foi exposto na violação do Ai.type.
"A conta de e-mail de recuperação para conorfitzpatrick2002 gmail era funmc59tm gmail", diz o depoimento.
"Os registros do assinante para essa conta revelam que a conta foi registrada em nome de 'a a' e criada em ou por volta de 28 de dezembro de 2018 a partir do endereço IP 74.101.151.4."
"As informações recebidas da Verizon, por sua vez, revelaram que o endereço IP 74.101.151.4 estava registrado para um cliente com o sobrenome Fitzpatrick no [residência localizada na Union Avenue em Peekskill, Nova York]."
A investigação também encontrou evidências de que Fitzpatrick fez login em vários provedores de rede privada virtual (VPN) de setembro de 2021 a maio de 2022 para obscurecer sua verdadeira localização e conectar-se a diferentes contas, incluindo a Conta do Google vinculada a conorfitzpatrick2002 gmail.
Um desses endereços IP mascarados foi usado ainda para entrar em uma conta Zoom sob o nome de "pompompurin" com um endereço de e-mail de pompompurin riseup net, registros obtidos pelo FBI do Zoom revelam.
Curiosamente, Fitzpatrick teria usado o endereço de e-mail pompompurin riseup net para se registrar no RaidForums.
Também desenterrada pela agência é uma conta de criptomoeda Purse que foi registrada com o endereço de e-mail conorfitzpatrick2002 gmail e "foi financiada exclusivamente por um endereço Bitcoin que pompompurin discutiu em postagens no RaidForums".
Registros do Purse mostraram que a conta foi usada para comprar "vários itens" e enviá-los para seu endereço em Peekskill.
Além disso, o FBI obteve um mandado para obter a localização GPS em tempo real de seu celular da Verizon, permitindo às autoridades determinar que ele estava conectado ao BreachForums enquanto a localização física de seu telefone mostrava que ele estava em casa.
Mas isso não é tudo.
Em mais um erro de OPSEC, Fitzpatrick cometeu o erro de fazer login no BreachForums em 27 de junho de 2022, sem usar um serviço de VPN ou o navegador TOR, expondo assim o endereço IP real (69.115.201.194).
Com base em dados recebidos da Apple, o mesmo endereço IP foi usado para acessar a conta iCloud cerca de 97 vezes entre 19 de maio de 2022 e 2 de junho de 2022.
"Fitzpatrick usou os mesmos VPNs e endereços IP para fazer login na conta de e-mail conorfitzpatrick2002 gmail, na conta Conor Fitzpatrick Purse, na conta pompompurin no RaidForums e na conta pompompurin no BreachForums, entre outras contas", disse John Longmire do FBI.
Na sequência da divulgação do depoimento, Baphomet disse que "você não deve confiar em ninguém para lidar com sua própria OPSEC", acrescentando que "eu nunca fiz essa suposição como um administrador, e ninguém mais deveria ter feito também".
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...