Небольшое расследование расследования по делу хакера, взломавшего Twitter (обновлено) - Habr.

[Artifact]

Небольшое расследование расследования по делу хакера, взломавшего Twitter (обновлено)
Наверное, все помнят, как около 2 недель назад были взломаны более 50 крупных Twitter-аккаунтов (Маска, Гейтса, Обамы, Apple и др).

Правоохранители задержали троих подозреваемых – 17-летнего Graham Clark и 22-летнего Nima Fazeli («Rolex») из Флориды, а также 19-летнего Mason Sheppard («Chaewon») из Великобритании.
Во всей https://www.zdnet.com/article/how-th...itter-hackers/ меня заинтересовало то, как вычислили реальных персонажей, стоящих за этой атакой. А точнее одного персонажа Mason Sheppard с ником «Chaewon».
Перед атакой на Twitter, пользователь «Chaewon» разместил на форуме «OGUsers» объявление о продаже услуги замены адреса эл. почты для Twitter-аккаунтов.

К несчастью для хакеров, данный форум был взломан 31.03.2020 г. (и до этого в конце 2018 г.), а его дамп находится в паблике (я писал про это в https://t.me/dataleak/1578).
Об этом и пишет спецагент налоговой службы США Tigran Gambaryan (Тигран Гамбарян) в своем отчете (https://www.justice.gov/usao-ndca/pr...00126/download).
В дампе форума для пользователя «Chaewon» был найден адрес эл. почты ([email protected]) и IP-адреса (79.66.149.155 и 82.132.236.55).

С одного из этих IP также зарегистрирован пользователь «mmm» ([email protected]). Судя по нашей информации пароль этого пользователя «Mason123». С точно таким же паролем на форуме находится пользователь «Ghoxl» ([email protected]). Кстати, у «Chaewon» в мессенджере Kik имя «MasyOGF», такое же, как и у «mmm, о чем оба пользователя сообщали на форуме сами.
И вот тут начинаются странности с отчетом спецагента Тиграна Гамбаряна. Он пишет про связь «Chaewon» с неким пользователем «Mas» ([email protected]) по IP-адресу на том же самом форуме «OGUsers». Однако, никакого «Mas» с адресом mailto:[email protected] там нет, а есть связанные «mmm» и «Ghoxl» (см. выше) и пользователь «mas» ([email protected]).

Пользователь «Chaewon» действительно оставлял сообщение на форуме с текстом “IT IS MAS I AM MAS NOT BRY I AM MAS MAS MAS!@”, как пишет спецагент. Кстати, “BRY” это сокращение от “BRYSON”, пользователь «Bryson» заблокирован на данном форуме за мошенничество.
Если внимательно анализировать дамп форума, то видно, что 15.05.2019 пользователь «mas» сменил имя на «Chaewon», а спустя почти месяц 19.06.2019 имя «mas» занял пользователь «wasdwasd123».
Далее спецагент находит адрес mailto:[email protected] в базе «Coinbase» и видит там имя/фамилию «mason sheppard».
Тут тонкость в том, что адреса mailto:[email protected] нет ни в базе «OGUsers» (о чем я уже написал выше), ни в утечке паролей пользователей «Coinbase». Этот адрес не светился ни в одной другой утечке паролей, которые мы анализировали (чтобы вы понимали речь идет о более чем 30 миллиардах паролей, https://dlbi.ru/%d0%b0%d0%bd%d0%b0%d...2%d1%8c%d1%8f/ за несколько лет).
Каким образом адрес mailto:[email protected] появился в расследовании мне установить не удалось.
Получается, что спецагент что-то не договаривает в своем отчете. Либо он имеет доступ к базе, информацию о которой не имеет права разглашать (например, доступ к базе «Coinbase» в режиме реального времени для поиска по IP), либо Mason Sheppard был найден по-другому (например, через запрос британскому провайдеру «TalkTalk Communications Limited» из чьей сети “сидел” хакер) и по какой-то причине это также не может быть разглашено.
Новости про утечки информации и инсайдеров всегда можно найти на Telegram-канале «http://tele.click/dataleak».
UPD: Уже после того, как статья была опубликована, я все-таки обнаружил, что адрес mailto:[email protected] был засвечен в другом дампе «OGUsers», полученным в результате взлома этого форума 26.12.2018.
Если вы обратите внимание, то в отчете спецагента этот адрес в одном месте написан как mailto:[email protected], а в другом месте как mailto:[email protected]. Эта досадная опечатка и привела к тому, что адрес не нашелся в старом дампе с первого раза.

Пользователь «Mas», позже переименованный в «Chaewon» (см. выше), был изначально зарегистрирован на mailto:[email protected]. Таким образом, спецагенту оставалось только послать запрос в «Coinbase», чтобы получить остальные данные на пользователя с этим адресом.
https://habr.com/ru/post/513402/