mars 15, 2021

WeLeakInfo a divulgué des informations de paiement client

Par andy1712


Il y a un peu plus d’un an, le FBI et les partenaires des forces de l’ordre à l’étranger ont saisi WeLeakInfo[.]avec, un service extrêmement populaire qui a vendu l’accès à plus de 12 milliards de noms d’utilisateur et de mots de passe volés à des milliers de sites Web piratés. Dans une tournure ironique des événements, un enregistrement de domaine caduc lié à WeLeakInfo a permis à quelqu’un de piller et de publier les données de compte de 24 000 clients qui ont payé pour accéder au service avec une carte de crédit.

Pendant plusieurs années, WeLeakInfo a été le plus grand de plusieurs services de vente d’accès à des mots de passe piratés. Procureurs mentionné il avait indexé et interrogeable des informations de plus de 10 000 violations de données contenant plus de 12 milliards d’enregistrements indexés – y compris les noms, adresses e-mail, noms d’utilisateur, numéros de téléphone et mots de passe pour les comptes en ligne.

Pour une somme modique, vous pouvez entrer une adresse e-mail et voir chaque mot de passe associé à cette adresse lors d’une violation précédente. Ou l’inverse – montrez-moi tous les comptes de messagerie qui ont déjà utilisé un mot de passe spécifique (voir capture d’écran ci-dessus). C’était un outil fantastique pour lancer des attaques ciblées contre des personnes, et c’est exactement ainsi que le service a été vu par beaucoup de ses clients.

Aujourd’hui, près de 24000 clients de WeLeakInfo découvrent que les données personnelles et de paiement qu’ils ont partagées avec WeLeakInfo au cours de ses cinq ans ont été divulguées en ligne.

Frais de service de WeLeakInfo.

Dans un message sur le forum de fuite de base de données Forum de diffusion, un contributeur régulier utilisant le pseudonyme «pompompurin» a déclaré qu’il avait volé les journaux de paiement WeLeakInfo et d’autres données après avoir remarqué le domaine wli[.]le design n’était plus répertorié comme enregistré.

«Pour faire court: le FBI a laissé expirer l’un des domaines de weleakinfo qu’ils utilisaient pour les e-mails / paiements», a écrit pompompurin. “J’ai enregistré ce domaine et j’ai pu [password] réinitialisez le compte stripe.com et obtenez toutes les données. [It’s] uniquement des personnes qui ont utilisé stripe.com pour payer. Si vous avez utilisé PayPal ou [bitcoin] tu es tout bon.

Cabinet de renseignement sur les cybermenaces Point de rupture a obtenu une copie des données divulguées par pompompurin, et a déclaré qu’elles comprenaient des données partielles de carte de crédit, des adresses e-mail, des noms complets, des adresses IP, des données de chaîne d’agent utilisateur du navigateur, des adresses physiques, des numéros de téléphone et le montant payé. Un membre du forum a déclaré avoir trouvé ses propres données de paiement dans les journaux.

Comment WeLeakInfo s’est comparé à ses concurrents (selon WLI).

Selon DomainOutils [an advertiser on this site] Wli[.]le design a été enregistré le 24 août 2016 auprès du registraire de domaine Dynadot. Le 12 mars, le domaine a été déplacé vers un autre registraire – Namecheap.

Pompompurin a publié plusieurs captures d’écran de lui-même connecté au compte WeLeakInfo sur stripe.com, un processeur de paiement en ligne. Sous “gestion et propriété” figurait un Gérald Murphy de Fintona, Royaume-Uni

Peu de temps après la saisie du domaine de WeLeakInfo par les autorités en janvier 2020, la National Crime Agency (NCA) du Royaume-Uni arrêté deux individus dans le cadre du service, y compris un jeune de 22 ans de Fintona.


BEAUCOUP DE TEMPS POUR LES ERREURS OPSEC

Ces derniers mois ont été difficiles pour les habitants de divers forums de piratage, qui se retrouvent sur la défensive d’un grand nombre d’attaques testant la sécurité de leurs alias et la sécurité opérationnelle ces derniers temps. Au cours des dernières semaines, trois des forums en ligne en russe les plus anciens et les plus vénérés au service de milliers de cybercriminels expérimentés ont été piratés.

Dans deux des intrusions (contre les forums de piratage russes «Mazafaka» et «Verified») – les attaquants se sont enfuis avec les bases de données d’utilisateurs des forums, y compris les adresses e-mail et Internet et les mots de passe hachés.

«Les membres des trois forums craignent que les incidents puissent servir de pierre de Rosette virtuelle pour connecter les identités réelles des mêmes utilisateurs sur plusieurs forums criminels», a expliqué un article récent ici.

Une exposition de 15 ans de données utilisateur à partir d’un forum comme Mazafaka est un gros risque pour les déclarants, car les enquêteurs peuvent souvent utiliser des informations d’enregistrement communes pour connecter des individus spécifiques qui auraient pu utiliser plusieurs identifiants de piratage au fil des ans.

De nombreux domaines, des adresses e-mail répertoriées dans le vidage de Maza, datent du début des années 2000, à l’époque où les cybercriminels en herbe prenaient généralement moins de précautions pour obscurcir ou séparer les myriades de connexions à leurs identités réelles en ligne.

La plus grande mine d’or potentielle pour désanonymiser les membres de Maza est la fuite de numéros d’utilisateurs pour ICQ, un service de messagerie instantanée anciennement détenu par AOL qui était largement utilisé par les membres du forum sur la cybercriminalité jusqu’en 2010 environ. a vendu la plateforme en 2010 à l’investisseur russe DST pour 187,5 millions de dollars.

À l’époque, les gens associaient souvent leur numéro ICQ à différents intérêts, activités et commerce liés à leur identité réelle. Dans de nombreux cas, ces associations sont présentes sur des forums publics en langue russe, tels que des sites de discussion sur des sujets tels que les voitures, la musique ou la programmation.

Lors d’une exposition commune par inadvertance, un cybercriminel a publié il y a 15 ans un message inoffensif sur un forum automobile en langue russe aujourd’hui disparu.

Ce message, préservé à perpétuité par des sites comme archive.org, comprend un numéro ICQ et indique qu’il y a un type nommé Sergey à Vladivostok qui vend sa voiture. Et le lien de profil sur le forum automatique mène à un autre site personnel maintenant disparu mais toujours archivé pour Sergey.

Fait intéressant, des services tels que WeLeakInfo peuvent être utilisés aussi facilement contre les cybercriminels que par eux. Par exemple, il est probable que la base de données du forum automobile où Sergey a posté a été compromise à un moment donné et est en vente sur des sites comme WeLeakInfo (il y a des concurrents actifs).

Idem pour tout autre forum où Sergey utilisait la même adresse email ou le même mot de passe. Lorsque les chercheurs commencent à trouver la réutilisation du mot de passe sur plusieurs adresses e-mail qui suivent toutes un modèle, il devient beaucoup plus facile de lier Sergey de Vladivostok à ses identités cybercriminelles et réelles.

*** Ceci est un blog syndiqué Security Bloggers Network de Krebs sur la sécurité rédigé par BrianKrebs. Lisez l’article original sur: https://krebsonsecurity.com/2021/03/weleakinfo-leaked-customer-payment-info/