Onlangs werd bekend dat de vermeende beheerder van BreachForums was aangehouden, een website waarop honderden gestolen databases met miljarden persoonsgegevens werden verhandeld. De FBI heeft nu laten weten hoe het de verdachte in deze zaak op het spoor is gekomen, wat voornamelijk mogelijk was door slechte operationele security van de verdachte.
BreachForums was de opvolger van RaidForums, dat ongeveer een jaar geleden door de autoriteiten uit de lucht werd gehaald. Zowel via RaidForums als BreachForums werden gestolen databases met miljarden persoonsgegevens verhandeld. De beheerder van BreachForums noemde zichzelf “Pompompurin”. Op de website RaidForums was ook een gebruiker met deze naam actief.
Bij het uit de lucht halen van RaidForums kreeg de FBI ook de database van de website in handen, die onder ander berichten bevatte die gebruikers met elkaar uitwisselden. In een van deze berichten laat Pompompurin aan de beheerder van RaidForums weten dat hij in een gelekte database op zijn e-mailadres heeft gezocht, maar die niet heeft kunnen vinden, terwijl dat e-mailadres hier wel in moest voorkomen. Dit e-mailadres, dat Pompompurin ook noemt, bevat de volledige naam van de verdachte.
Verder blijkt uit de logbestanden van RaidForums dat de verdachte meerdere keren vanaf een ip-adres op het Pompompurin-account op RaidForums heeft ingelogd dat was gekoppeld aan zijn smartphone. De FBI wist ook de database van BreachForums in handen te krijgen en zag daarbij dat er vanaf een ip-adres was ingelogd op het Pompompurin-account, dat was geregistreerd aan het huisadres waar de verdachte woont. Vermoedelijk was dit een fout doordat de vpn-verbinding waar de verdachte normaliter gebruik van maakte niet werkte.
De FBI deed ook verder onderzoek, waarbij de woning waar de verdachte woont in de gaten werd gehouden en de locatie waarvandaan op het Pompompurin werd ingelogd. Volgens de FBI is de verdachte de eigenaar van de Pompompurin-accounts op zowel RaidForums als BreachForums. De man werd op 15 maart aangehouden, waarbij hij ook bekende Pompompurin en de beheerder van BreachForums te zijn. Volgens de autoriteiten werden op de website, die claimde 340.000 leden te hebben, 888 datasets met 14 miljard individuele records naar verluidt aangeboden (pdf).
Bron: Security.nl