Pompompurin เจ้าของเว็บไซต์ BreachForums ถูกจับกุมในนิวยอร์ก

หน่วยงานบังคับใช้กฎหมายของสหรัฐอเมริกา ได้จับกุมชายชาวนิวยอร์กซึ่งเป็นผู้มีความเกี่ยวข้องกับเว็บไซต์ขายข้อมูลรั่วไหลชื่อดัง BreachForums ภายใต้ชื่อออนไลน์ว่า 'Pompompurin'

เหตุการณ์นี้ถูกรายงานครั้งแรกโดย Bloomberg Law หลังจากที่ News 12 Westchester รายงานเมื่อต้นสัปดาห์ที่ผ่านมาว่า "เจ้าหน้าที่สืบสวนของรัฐบาลใช้เวลาหลายชั่วโมงในการตรวจสอบทั้งภายใน และภายนอกอาคารในเมือง Peekskill"

สำนักข่าวท้องถิ่นในนิวยอร์กระบุเพิ่มเติมว่า "มีช่วงหนึ่ง มีผู้พบเห็นเจ้าหน้าที่สืบสวนนำถุงหลักฐานหลายใบออกจากอาคาร"

ตามคำให้การเป็นลายลักษณ์อักษรที่ยื่นโดยสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ผู้ต้องสงสัยยอมรับว่าตัวเองคือ Conor Brian Fitzpatrick และยอมรับว่าเป็นเจ้าของเว็บไซต์ BreachForums

John Longmire เจ้าหน้าที่พิเศษของ FBI ระบุว่า "เมื่อเข้าจับกุมผู้ต้องสงสัยในวันที่ 15 มีนาคม 2023 ผู้ต้องสงสัยยอมรับว่าตัวเองคือ Conor Brian Fitzpatrick และชื่อนามแฝง pompompurin และเป็นเจ้าของ และผู้ดูแลระบบของ BreachForums

Fitzpatrick ถูกตั้งข้อหาสมรู้ร่วมคิดในการชักชวนบุคคลเพื่อขายข้อมูลการเข้าถึงระบบที่ได้มาโดยผิดกฏหมาย

Fitzpatrick ได้ถูกปล่อยตัวในวันถัดมา โดยมีการประกันตัวด้วยจำนวนเงิน 300,000 เหรียญดอลลาร์ ที่ได้ลงนามจากผู้ปกครอง และกำหนดให้เข้ารับการพิจารณาของศาลในเขตตะวันออกรัฐเวอร์จิเนียในวันที่ 24 มีนาคม 2023

Fitzpatrick ถูกห้ามไม่ให้ใช้หนังสือเดินทาง หรือเอกสารเดินทางระหว่างประเทศ รวมถึงถูกจำกัดไม่ให้ติดต่อกับกลุ่มผู้สมรู้ร่วมคิด และไม่สามารถใช้ยาเสพติด หรือสารอื่น ๆ เว้นแต่จะได้รับการสั่งจ่ายยาโดยแพทย์ที่มีใบอนุญาต

BreachForums ถูกสร้างขึ้นเมื่อปีที่ผ่านมา สามสัปดาห์ภายหลังจากการดำเนินการร่วมกันของหน่วยงานการปราบปรามสองแห่งในเดือนมีนาคม ปี 2022 เพื่อเข้าควบคุม RaidForums

บริษัทด้านความปลอดภัยทางไซเบอร์ Flashpoint ได้กล่าวในเวลานั้นว่า "pompompurin ระบุว่าพวกเขาได้สร้าง BreachForums เป็นทางเลือกสำหรับผู้ที่สนใจแทน RaidForums แต่ BreachForums ไม่ได้มีความเกี่ยวข้องกับ RaidForums แต่อย่างใด"

ตั้งแต่นั้นเป็นต้นมา ฟอรัมดังกล่าวก็เป็นที่รู้จักในฐานะของแหล่งการขายฐานข้อมูลที่ถูกขโมยมาจากบริษัทหลายแห่ง ซึ่งอาจรวมถึงข้อมูลส่วนบุคคลที่มีความสำคัญ

หลังจับกุม Fitzpatrick ผู้ใช้ฟอรัมชื่อ Baphomet ระบุว่า จะเข้ามาเป็นเจ้าของเว็บไซต์แทน และยืนยันว่ายังไม่มีหลักฐานว่ารายชื่อผู้ใช้งาน และระบบของ BreachForums ถูกเข้าควบคุม

เหตุการณ์ดังกล่าวเกิดขึ้นภายหลังจากที่ตำรวจทางไซเบอร์ของประเทศยูเครนประกาศจับกุมนักพัฒนาอายุ 25 ปี ที่สร้าง remote access trojan ที่แพร่กระจายผ่านแอปพลิเคชันเกมปลอมกว่า 10,000 เครื่อง

ล่าสุดพบว่าเว็บไซต์ BreachForums ไม่สามารถเข้าถึงได้แล้วในปัจจุบัน โดยหากเข้าเว็บไซต์จะพบว่ามีข้อความ "502 - Bad Gateway"

 

ที่มา : thehackernews

พบช่องโหว่ใน Bitwarden ทำให้แฮ็กเกอร์สามารถขโมยรหัสผ่านโดยการใช้ iframe ได้

ฟีเจอร์การป้อนข้อมูล credentials อัตโนมัติของ Bitwarden มีพฤติกรรมเสี่ยงที่อาจทำให้ iframes ที่เป็นอันตรายซึ่งถูกฝังอยู่ในเว็บไซต์ สามารถขโมยข้อมูล credentials ของผู้ใช้งาน และส่งไปยังแฮ็กเกอร์ได้

แม้ว่าฟีเจอร์การป้อนข้อมูล credentials อัตโนมัติจะถูกปิดใช้งานบน Bitwarden เป็นค่าเริ่มต้น และมีเงื่อนไขในการใช้งานด้วยฟีเจอร์ดังกล่าวไม่มากนัก แต่ Flashpoint ระบุว่ายังมีเว็บไซต์ที่ตรงตามเงื่อนไข ที่แฮ็กเกอร์สามารถนำมาใช้ประโยชน์จากช่องโหว่ดังกล่าวได้

Bitwarden คือ บริการจัดการรหัสผ่านแบบโอเพ่นซอร์ส ที่มี extension บนเว็บเบราว์เซอร์ที่ใช้เก็บข้อมูล เช่น ชื่อผู้ใช้ และรหัสผ่านของบัญชีโดยการเข้ารหัส

เมื่อผู้ใช้งานเข้าเว็บไซต์ extension จะตรวจสอบว่ามีการเข้าสู่ระบบที่เก็บข้อมูลไว้สำหรับโดเมนดังกล่าวหรือไม่ และกรอกข้อมูล credentials ให้ทันที หากเปิดใช้ตัวเลือกป้อนข้อมูลโดยอัตโนมัติ โดยระบบจะใส่ข้อมูลโดยอัตโนมัติเมื่อโหลดหน้าเว็บโดยที่ผู้ใช้ไม่ต้องทำอะไรเลย

โดยนักวิจัยของ Flashpoint พบว่า extension จะยังป้อนข้อมูลอัตโนมัติใน iframe ที่ถูกฝังไว้บนเว็บไซต์ ถึงแม้ว่าจะมาจากโดเมนอื่นก็ตาม

ในขณะที่ iframe ที่ฝังไว้ไม่สามารถเข้าถึงเนื้อหาใด ๆ ในหน้าหลักได้ แต่ก็ยังสามารถรับการป้อนข้อมูลแบบฟอร์มการเข้าสู่ระบบ และส่งต่อข้อมูล credentials ที่ได้มาไปยัง เซิร์ฟเวอร์ภายนอก โดยไม่ต้องให้ผู้ใช้งานดำเนินการใด ๆ

Flashpoint ตรวจสอบการฝัง iframe ในหน้าเข้าสู่ระบบของเว็บไซต์ต่าง ๆ ที่มีการเข้าใช้งานสูง และพบว่ายังมีค่อนข้างน้อย จึงทำให้ความเสี่ยงจากช่องโหว่ดังกล่าวถือว่ายังค่อนข้างต่ำ

ปัญหาที่สองที่ถูกพบโดย Flashpoint ระหว่างการตรวจสอบปัญหาจาก iframes คือ Bitwarden จะกรอกข้อมูล credentials โดยอัตโนมัติใน subdomain ที่ตรงกับโดเมนหลักของการเข้าสู่ระบบ

ซึ่งทำให้หากผู้โจมตีโฮสต์หน้าฟิชชิ่งภายใต้โดเมนย่อยที่ตรงกับโดเมนหลัก ก็จะสามารถบันทึกข้อมูล credentials จากเหยื่อได้เมื่อเหยื่อเปิดใช้การป้อนข้อความอัตโนมัติ

โดยบางบริการอนุญาตให้ผู้ใช้งานสามารถสร้าง subdomain เพื่อโฮสต์เนื้อหาได้ เช่น บริการฟรีโฮสติ้ง รวมไปถึงการโจมตียังคงทำได้ผ่านการโจมตีในลักษณะ subdomain hijacking

Bitwarden ระบุว่าฟีเจอร์การป้อนข้อความอัตโนมัติมีความเสี่ยงที่อาจเกิดขึ้นได้จริง และแจ้งเตือนในกรณีที่เว็บไซต์ถูกโจมตี ฟีเจอร์การป้อนข้อความอัตโนมัติอาจจะทำให้ผู้ใช้งานถูกขโมยข้อมูล credentials ได้

ความเสี่ยงนี้ถูกเปิดเผยครั้งแรกเมื่อเดือนพฤศจิกายน 2018 ดังนั้น Bitwarden จึงรับทราบถึงปัญหาดังกล่าวมาระยะหนึ่งแล้ว

อย่างไรก็ตาม เนื่องจากยังมีผู้ใช้งานที่จำเป็นต้องเข้าสู่ระบบผ่านบริการโดยใช้ iframes ที่มาจากโดเมนภายนอก Bitwarden จึงตัดสินใจที่จะไม่เปลี่ยนแปลงลักษณะการทำงาน และเพิ่มคำเตือนในซอฟต์แวร์ และเมนูการตั้งค่าที่เกี่ยวข้องของ extension แทน

ในการตอบสนองต่อรายงานของ Flashpoint เกี่ยวกับการจัดการ URI และวิธีการป้อนข้อความบน subdomain โดยอัตโนมัติ Bitwarden สัญญาว่าจะบล็อกการป้อนข้อความอัตโนมัติ สำหรับการอัปเดตในอนาคต แต่ไม่มีแผนที่จะเปลี่ยนฟังก์ชันการทำงานบน iframe

BleepingComputer ติดต่อ Bitwarden เกี่ยวกับความเสี่ยงด้านความปลอดภัย พวกเขายืนยันว่าทราบปัญหานี้ตั้งแต่ปี 2018 แต่ยังไม่ได้มีการเปลี่ยนฟังก์ชันการทำงาน เนื่องจากยังมีแบบฟอร์มการเข้าสู่ระบบบนเว็บไซต์ที่ถูกต้องที่มีการใช้ iframe

 

ที่มา : bleepingcomputer