Conor Brian Fitzpatrick, người sáng lập 20 tuổi và quản trị viên của BreachForums hiện đã không còn tồn tại đã chính thức bị buộc tội tại Hoa Kỳ với âm mưu thực hiện hành vi gian lận thiết bị truy cập.
Nếu bị chứng minh là có tội, Fitzpatrick, người có biệt danh trực tuyến là “pompompurin”, phải đối mặt với hình phạt tối đa lên tới 5 năm tù. Ông bị bắt vào ngày 15 tháng 3 năm 2023.
“Tội phạm mạng trở thành nạn nhân và đánh cắp thông tin tài chính cũng như thông tin cá nhân của hàng triệu người vô tội”, Luật sư Hoa Kỳ Jessica D. Aber cho Quận phía Đông Virginia cho biết. “Vụ bắt giữ này gửi một thông điệp trực tiếp tới bọn tội phạm mạng: hành vi bóc lột và bất hợp pháp của bạn sẽ bị phát hiện và bạn sẽ bị đưa ra trước công lý.”
Sự phát triển diễn ra vài ngày sau khi Baphomet, cá nhân đảm nhận trách nhiệm của BreachForums, đóng cửa trang web, với lý do lo ngại rằng cơ quan thực thi pháp luật có thể có quyền truy cập vào phần phụ trợ của nó. Kể từ đó, Bộ Tư pháp (DoJ) đã xác nhận rằng họ đã tiến hành một hoạt động gây gián đoạn khiến nền tảng tội phạm bất hợp pháp ngừng hoạt động.
BreachForums, theo Fitzpatrick, được tạo ra vào tháng 3 năm 2022 để lấp đầy khoảng trống mà RaidForums để lại, đã bị gỡ xuống một tháng trước đó như một phần của hoạt động thực thi pháp luật quốc tế.
Nó phục vụ như một thị trường để giao dịch dữ liệu bị tấn công hoặc bị đánh cắp, bao gồm thông tin tài khoản ngân hàng, số An sinh xã hội, công cụ tấn công và cơ sở dữ liệu chứa thông tin nhận dạng cá nhân (PII).
Trong các tài liệu tòa án mới được công bố vào ngày 24 tháng 3 năm 2023, người ta đã đưa ra ánh sáng rằng các đặc vụ bí mật làm việc cho Cục Điều tra Liên bang Hoa Kỳ (FBI) đã mua năm bộ dữ liệu được rao bán, với Fitzpatrick đóng vai trò là người trung gian để hoàn tất các giao dịch.
Các liên kết của Fitzpatrick với pompompurin đến từ chín địa chỉ IP được liên kết với nhà cung cấp dịch vụ Verizon mà Pompompurin đã sử dụng để truy cập tài khoản pompompurin trên RaidForums và lỗi OPSEC lớn từ phía bị cáo.
“Các bản ghi RaidForums cũng chứa […] giao tiếp giữa pompompurin và toàn năng [the RaidForums administrator] vào hoặc khoảng ngày 28 tháng 11 năm 2020, trong đó pompompurin đề cập cụ thể đến đấng toàn năng rằng anh ta đã tìm kiếm địa chỉ email conorfitzpatrick02@gmail.com và đặt tên ‘conorfitzpatrick' trong cơ sở dữ liệu dữ liệu bị vi phạm từ ‘ai.type,'” theo bản khai.
Điều đáng chú ý là ứng dụng bàn phím Android Ai.type đã bị vi phạm dữ liệu vào tháng 12 năm 2017, dẫn đến việc vô tình rò rỉ email, số điện thoại và vị trí liên kết với 31 triệu người dùng.
Dữ liệu khác thu được từ Google tiết lộ rằng Fitzpatrick đã đăng ký tài khoản Google mới với địa chỉ email [email protected] vào tháng 5 năm 2019 để thay thế [email protected], địa chỉ này đã bị đóng vào khoảng tháng 4 năm 2020.
Hơn nữa, địa chỉ email [email protected] “cũ” hiện có trong cơ sở dữ liệu Ai.type bị vi phạm, trang web thông báo vi phạm dữ liệu hợp pháp Have I Been Pwned.
“Địa chỉ email khôi phục cho [email protected] là [email protected],” bản tuyên thệ viết. “Hồ sơ người đăng ký cho tài khoản này tiết lộ rằng tài khoản đã được đăng ký dưới tên ‘aa' và được tạo vào hoặc khoảng ngày 28 tháng 12 năm 2018 từ địa chỉ IP 74.101.151.4.”
“Hồ sơ nhận được từ Verizon tiết lộ rằng địa chỉ IP 74.101.151.4 đã được đăng ký cho một khách hàng có họ Fitzpatrick tại [a residence located on Union Avenue in Peekskill, New York].”
Cuộc điều tra cũng đưa ra bằng chứng về việc Fitzpatrick đăng nhập vào nhiều nhà cung cấp mạng riêng ảo (VPN) từ tháng 9 năm 2021 đến tháng 5 năm 2022 để che giấu vị trí thực của mình và kết nối với các tài khoản khác nhau, bao gồm cả Tài khoản Google được liên kết với [email protected].
Một trong những địa chỉ IP được che giấu đó đã được sử dụng thêm để đăng nhập vào tài khoản Zoom dưới tên “pompompurin” với địa chỉ email là [email protected], hồ sơ mà FBI thu được từ Zoom tiết lộ. Thật thú vị, Fitzpatrick được cho là đã sử dụng địa chỉ email [email protected] để đăng ký trên RaidForums.
Cơ quan cũng khai quật được một tài khoản tiền điện tử Purse.io đã được đăng ký với địa chỉ email [email protected] và “được tài trợ độc quyền bởi một địa chỉ Bitcoin mà pompompurin đã thảo luận trong các bài đăng trên RaidForums. Hồ sơ từ Purse.io cho thấy rằng tài khoản đã được sử dụng để mua “một số mặt hàng” và gửi chúng đến địa chỉ của anh ta trong Peekskill.
Ngoài ra, FBI đã có được lệnh lấy vị trí GPS trên điện thoại di động của anh ta theo thời gian thực từ Verizon, cho phép các nhà chức trách xác định rằng anh ta đã đăng nhập vào BreachForums trong khi vị trí thực của điện thoại cho thấy anh ta đang ở nhà.
Nhưng đó không phải là tất cả. Trong một lỗi OPSEC khác, Fitzpatrick đã mắc lỗi khi đăng nhập vào BreachForums vào ngày 27 tháng 6 năm 2022 mà không sử dụng dịch vụ VPN hoặc trình duyệt TOR, do đó để lộ địa chỉ IP thực (69.115.201.194).
Dựa trên dữ liệu nhận được từ Apple, cùng một địa chỉ IP đã được sử dụng để truy cập vào tài khoản iCloud khoảng 97 lần trong khoảng thời gian từ ngày 19 tháng 5 năm 2022 đến ngày 2 tháng 6 năm 2022.
“Fitzpatrick đã sử dụng cùng một VPN và địa chỉ IP để đăng nhập vào tài khoản email [email protected], tài khoản Conor Fitzpatrick Purse.io, tài khoản pompompurin trên RaidForums và tài khoản pompompurin trên BreachForums, cùng các tài khoản khác,” John của FBI Longmire nói.
Sau khi bản khai có tuyên thệ được công bố, Baphomet nói “bạn không nên tin tưởng bất kỳ ai xử lý OPSEC của riêng mình”, đồng thời nói thêm “Tôi chưa bao giờ đưa ra giả định này với tư cách là quản trị viên và cũng không ai khác nên làm như vậy.”