كونور بريان فيتزباتريك ، المؤسس البالغ من العمر 20 عامًا والمسؤول عن BreachForums التي انتهت صلاحيتها الآن ، تم اتهامه رسميًا في الولايات المتحدة بالتآمر لارتكاب احتيال في جهاز الوصول.
إذا ثبتت إدانته ، فإن فيتزباتريك ، الذي استخدم لقب "بومبورين" على الإنترنت ، يواجه عقوبة قصوى تصل إلى السجن لمدة خمس سنوات. اعتقل في 15 مارس 2023.
وقالت المدعية الأمريكية جيسيكا دي أبير لمنطقة شرق فيرجينيا: "جرائم الإنترنت تسرق وتسرق المعلومات المالية والشخصية من ملايين الأبرياء". "هذا الاعتقال يرسل رسالة مباشرة إلى مجرمي الإنترنت: سيتم اكتشاف سلوكك الاستغلالي وغير القانوني ، وسيتم تقديمك إلى العدالة."
يأتي هذا التطور بعد أيام من قيام Baphomet ، الشخص الذي تولى مسؤوليات BreachForums ، بإغلاق موقع الويب ، مشيرًا إلى مخاوف من أن تطبيق القانون قد يكون قد حصل على حق الوصول إلى الواجهة الخلفية. أكدت وزارة العدل (DoJ) منذ ذلك الحين أنها أجرت عملية تعطيل تسببت في توقف المنصة الإجرامية غير المشروعة.
تم إنشاء BreachForums ، وفقًا لفيتزباتريك ، في مارس 2022 لملء الفراغ الذي خلفه RaidForums ، والذي تم إزالته قبل شهر كجزء من عملية إنفاذ القانون الدولية.
كان بمثابة سوق لتداول البيانات التي تم اختراقها أو سرقتها ، بما في ذلك معلومات الحساب المصرفي وأرقام الضمان الاجتماعي وأدوات القرصنة وقواعد البيانات التي تحتوي على معلومات التعريف الشخصية (PII).
في وثائق المحكمة الجديدة التي تم إصدارها في 24 مارس 2023 ، تبين أن عملاء سريين يعملون لصالح مكتب التحقيقات الفيدرالي الأمريكي (FBI) قاموا بشراء خمس مجموعات من البيانات المعروضة للبيع ، مع عمل فيتزباتريك كوسيط لإكمال المعاملات.
جاءت روابط Fitzpatrick إلى pompurin من تسعة عناوين IP مرتبطة بمزود خدمة الاتصالات Verizon الذي استخدمه للوصول إلى الحساب على RaidForums وفشل OPSEC كبير من جانب المدعى عليه.
"احتوت سجلات RaidForums أيضًا على [...] اتصال بين pompurin والقدير [مدير RaidForums] في 28 نوفمبر 2020 أو حوالي ذلك التاريخ ، حيث يشير بومبورين على وجه التحديد إلى القائد القاهر أنه بحث عن عنوان البريد الإلكتروني conorfitzpatrick02@gmail.com و اسم "conorfitzpatrick" في قاعدة بيانات للبيانات المخترقة من "Ai.type" ، وفقًا للإفادة الخطية.
تجدر الإشارة إلى أن تطبيق لوحة مفاتيح Android Ai.type تعرض لخرق للبيانات في ديسمبر 2017 ، مما أدى إلى تسرب عرضي لرسائل البريد الإلكتروني وأرقام الهواتف والمواقع المتعلقة بـ 31 مليون مستخدم.
أظهرت المزيد من البيانات التي تم الحصول عليها من Google أن Fitzpatrick سجل حسابًا جديدًا على Google بعنوان البريد الإلكتروني conorfitzpatrick2002@gmail.com في مايو 2019 ليحل محل conorfitzpatrick02@gmail.com ، والذي تم إغلاقه في أبريل 2020 تقريبًا.
علاوة على ذلك ، فإن البحث عن conorfitzpatrick02@gmail.com على خدمة الإعلام بخرق البيانات Have I Been Pwned ( HIBP ) يؤكد حقيقة أن عنوان البريد الإلكتروني القديم قد تم كشفه بالفعل في خرق Ai.type.
جاء في الإفادة الخطية: "عنوان البريد الإلكتروني لاسترداد الحساب الخاص بـ conorfitzpatrick2002@gmail.com كان funmc59tm@gmail.com". "تكشف سجلات المشتركين لهذا الحساب أن الحساب تم تسجيله تحت الاسم 'aa' ، وتم إنشاؤه في 28 ديسمبر 2018 أو حوالي ذلك التاريخ من عنوان IP 74.101.151.4."
"كشفت السجلات التي تم استلامها من Verizon ، بدورها ، أن عنوان IP 74.101.151.4 تم تسجيله لعميل يحمل الاسم الأخير Fitzpatrick في [سكن يقع في Union Avenue في Peekskill ، نيويورك]."
كشف التحقيق أيضًا عن أدلة على قيام Fitzpatrick بتسجيل الدخول إلى العديد من مزودي الشبكات الافتراضية الخاصة (VPN) من سبتمبر 2021 إلى مايو 2022 لإخفاء موقعه الحقيقي والاتصال بحسابات مختلفة ، بما في ذلك حساب Google المرتبط بـ conorfitzpatrick2002@gmail.com.
تم استخدام أحد عناوين IP المقنعة لتسجيل الدخول إلى حساب Zoom تحت اسم "pompompurin" بعنوان بريد إلكتروني pompompurin@riseup.net ، تكشف السجلات التي حصل عليها مكتب التحقيقات الفيدرالي من Zoom. ومن المثير للاهتمام أن فيتزباتريك قد استخدم عنوان البريد الإلكتروني pompompurin@riseup.net للتسجيل في RaidForums.
اكتشفت الوكالة أيضًا حساب Purse.io cryptocurrency الذي تم تسجيله بعنوان البريد الإلكتروني conorfitzpatrick2002@gmail.com و "تم تمويله حصريًا من خلال عنوان Bitcoin الذي ناقشه بومبورين في منشورات على RaidForums." أظهرت السجلات من Purse.io أنه تم استخدام الحساب لشراء "عدة عناصر" وشحنها إلى عنوانه في Peekskill.
علاوة على ذلك ، حصل مكتب التحقيقات الفيدرالي على أمر قضائي للحصول على موقع GPS لهاتفه الخلوي في الوقت الفعلي من Verizon ، مما سمح للسلطات بتحديد أنه تم تسجيل دخوله إلى BreachForums بينما أظهر الموقع الفعلي لهاتفه أنه في منزله.
لكن هذا ليس كل شيء. في خطأ OPSEC آخر ، ارتكب Fitzpatrick خطأ تسجيل الدخول إلى BreachForums في 27 يونيو 2022 ، دون استخدام خدمة VPN أو متصفح TOR ، وبالتالي كشف عنوان IP الحقيقي (69.115.201.194).
استنادًا إلى البيانات الواردة من Apple ، تم استخدام نفس عنوان IP للوصول إلى حساب iCloud حوالي 97 مرة بين 19 مايو 2022 و 2 يونيو 2022.
"استخدم Fitzpatrick نفس شبكات VPN وعناوين IP لتسجيل الدخول إلى حساب البريد الإلكتروني conorfitzpatrick2002@gmail.com ، وحساب Conor Fitzpatrick Purse.io ، وحساب بومبورين في RaidForums ، وحساب بومبورين على BreachForums ، من بين حسابات أخرى ،" جون من مكتب التحقيقات الفيدرالي قال Longmire.
في أعقاب إصدار الإفادة الخطية ، قال Baphomet "لا ينبغي أن تثق في أي شخص للتعامل مع OPSEC الخاص بك" ، مضيفًا "لم أفترض هذا الافتراض كمسؤول ، ولا ينبغي أن يكون لدى أي شخص آخر أيضًا."