文章
时政

【为什么FBI能抓到他】BreachForums 站长 Pompompurin 被抓线索整理

Vendetta
Vendetta  ·  2023年3月21日

写一写某些暗网大佬或小鬼之殇,作为网络安全和匿名性问题的实例注脚。

美国 FBI 于2023年3月15日逮捕了一名纽约男子,Conor Brian Fitzpatrick。他被控运营了论坛 BreachForums,论坛ID Pompompurin(以下简称Pom)。该论坛是世界最大的出售被盗数据的网站之一。记录显示,他最后一次访问 BreachForums 是在周三下午 3:53,也就是被捕前不久。Fitzpatrick 目前以30万美元保释金获释,他将于3月24日出庭。

最新消息,BreachForums(网址 breached.vc)目前已关闭。在Pom 被抓后,原论坛的另一名高级管理员 Baphomet 接管了论坛,并且发布了 Pom 被捕的消息。两天前 breached.vc 关闭,Baphomet 称 Pom 的电脑被控制,站点已不再安全,因此决定关闭论坛。此消息由其 PGP 签名验证。

消息大意:Baphomet 称在怀疑 Pom 被捕后不久,即控制了所有 BreachForums 的域名和关键服务器,但没有去动一些不重要的服务器。他在检查这些服务器时,发现其中有一台服务器在3月19日下午被人登录过。Baphomet 认为,这说明 Pom 电脑上的所有信息都已经被掌握,因此继续运营原 BreachForum 不再安全。Baphomet 决定彻底放弃原来的网站服务器、域名、源码,重开新站,以降低攻击面。

2023.3.17 Intelligence X 公司宣称与 Pom 被捕有关

我们当时的评估显然是正确的,这就是他的纽约IP。今天,Conor Brian Fitzpatrick,网名 pompompurin,在纽约被捕。(IP地址)https://ipinfo.io/108.41.204.191

Intelligence X 是一家位于捷克布拉格的主营网络存档信息、泄露数据库搜索网站的公司。它的产品页面亦显示其主要用来人肉搜索,也就是一家社工库网站。其站方表示出于安全原因,从2020年开始搜索即不支持 Tor 出口

网站主页

网站产品

不支持 Tor

根据 Intelligence X 去年11月至今年1月发布的一系列推特,Pom 在 Intelligence X 网站注册有账号,账号信息在 BreachForums 上被其本人无意泄露,因此 IP 被 Intelligence X 站方定位并举报 FBI 。 过程如下。

一,Pom 于去年11月在 BreachForums 回复了一个帖子(地址 https://breached.vc/Thread-Selling-Accellion-data-breach-200k-Users-SSN-DOB-Medicare ,现已失效),其中引用了 intelx.co 上某个搜索结果的链接。这个链接为:https://intelx.io/?did=d09a6d39-584b-4506-8de9-3f7047179cf1。(请注意,这个网站记录 IP,查看后果自负。)

二,Intelx 站方疑似根据此链接中含有的跟踪码获得了 Pom 在 intelx.co 网站上的 ID,并且查询到了其 IP 地址和加密货币地址

2022.11.29 Intelx 给 FBI 发送的举报邮件,https://twitter.com/_IntelligenceX/status/1597411367744851969

2023.1.3 Intelx 张贴的 Pom 的账号信息和 IP 记录 https://twitter.com/_IntelligenceX/status/1610302930069889024

2023.1.3 Intelx 张贴的 Pom 的 BNB 地址 https://twitter.com/_IntelligenceX/status/1610405167337193474

三,由以上信息可查,Pom 在 intelx 网站上被记录的 IP 地址至少有两个,https://ipinfo.io/108.41.204.191 和 https://ipinfo.io/70.23.46.244 。网址查询显示,这两个 IP 来自美国电信公司 Verizon ,属地纽约,并非 Tor 出口或商用 VPN 出口,有可能是 Pom 的实际 IP 或是自建VPN。如 Intelx 所说,美国警方联系 Verizon 即可以定位这些 IP 地址的来源。而 Pom 在纽约被抓提高了这些 IP 地址与其实名相连的可能性。

讽刺的是,Intelligence X 的广告语是 "We love privacy"(我们爱隐私),但其不支持 Tor,且显然持有详细的用户查询记录。

因此这个故事的教训是:

  1. 某些链接地址中暗含跟踪码,可以定位某一 session 使用的浏览器 IP 地址等。
  2. Trust no one. Use Tor.

资料来源:

1.1k 次浏览
菜单
  1. 7yrXJwCu
    7yrXJwCu  

    小翻译:Trust no one. Use Tor.意思是不相信任何人(包括但不限于任何站方), 使用Tor(对普通用户来说使用Tor等同于使用Tor Browser,而且Tor Browser有官方中文版(Tor Browser会自动检测系统语言))
    虽然我觉得看不懂那么简单的英文的人也不太可能会用Tor, 但本着尽可能降低门槛的原则还是在此提供本小小翻译, 让用Tor的人多一个是一个.
    再顺带一提, Tor Browser自带的Snowflake网桥可以帮助连最简单英文也看不懂的低端穷人免费翻墙

  2. Vendetta
    Vendetta 回复 7yrXJwCu /p/200167

    是的。感谢。