ZATAZ découvre un nid pirate au 2 500 bases de données piratées

Un pirate informatique stocke sur un espace russophone 2 500 bases de données volées à des entreprises entre 2022 et 2023.

Lors de recherches dédiées au Service Veille ZATAZ, j’ai été étonné de tomber aussi facilement sur un espace de stockage appartenant à ce qui semble être un pirate russophone. Cette supposition géographique est basée sur la lecture de plusieurs messages de ce pirate indiquant qu’il ne stocke aucun document provenant de sa « mère patrie« . Il ne semble pas vivre en Russie. Je me demande même s’il n’est pas basé en Turquie, voire dans le sud-est du globe. Cependant, la technique de la muleta (le tissu rouge que le torero agite face au taureau) peut comporter des leurres. Le pirate peut être basé aussi bien en Colombie qu’en Belgique.

Dans son business qu’il revendique comme « juteux et enrichissant« , le pirate en question commercialise et échange des données qu’il peut exfiltrer de sites web et autres serveurs d’entreprises. Il se dit être le « King » de l’injection SQL [SQLi].

Par un tour de passe-passe que je n’expliquerai pas ici, sachez seulement qu’il n’y a rien eu de technique dans la manipulation de notre interlocuteur, j’ai eu accès à l’espace de stockage de ce criminel. Plus de 2 500 bases de données sous forme de base de données SQL ou encore CSV. Autant dire que cette caverne à la sauce « Alibaba et les 40 voleurs » stocke des millions d’identifiants de connexion (mails et mots de passe), d’informations internes, de messages, Etc.

Le pirate ne semble pas avoir repéré mon passage, du moins aucun outil permettant de bloquer un intru ne s’est déclenché en temps réel. Il affirme être l’auteur des exfiltrations, ce qui est fort possible. Ce voyou du numérique est connu dans son milieu depuis des années, on pouvait d’ailleurs le voir passer sur Raid Forums.

Parmi les victimes, des sites Français, Espagnols, Américains, Italiens, Péruviens, Portugais, Ivoiriens, Etc. Aucun site Russe [ni Ukrainien] dans ce cloud, basé… sur un .ru [nom de domaine russe] ! L’ensemble des sites .fr et .ca retrouvaient dans cet espace nuagique malveillant ont été alertés, bénévolement, par un Protocole d’Alerte ZATAZ.

Il semble posséder plusieurs espaces de stockage. Celui auquel j’ai pu accéder affichait des piratages courants de 2022 à avril 2023. Et je doute qu’il ait arrêté son activité en avril !