El FBI ha confiscado el dominio WeLeakInfo.com, una página que vendía registros de datos filtrados, tras un esfuerzo multinacional por parte de las fuerzas del orden.
Las autoridades han arrestado a dos hombres de 22 años que supuestamente gestionaban la web. Con base en Fintona, Irlanda del Norte, y Arnhem en los Países Bajos, se cree que han ganado más de 260.000 dólares con la página.
Internet Archive’s Wayback Machine muestra que WeLeakInfo.com apareció por primera vez en abril de 2017, anunciándose como “el más extenso motor de búsqueda de bases de datos privadas”.
El FBI y el Distrito de Columbia explicaron que la web había recopilado más de 12 mil millones de registros de más de 10.000 filtraciones de datos, incluyendo nombres, direcciones de correo electrónico, nombres de usuario, números de teléfono y contraseñas. El sitio reveló registros relacionados con filtraciones de datos de sitios como Chegg.com, StockX, Dubsmash y MyFitnessPal.
Los clientes podían suscribirse a WeLeakInfo.com por tan solo un día, pagando un mínimo de $2 a cambio de un acceso ilimitado. Las autoridades del Reino Unido también encontraron enlaces entre la página y las ventas de troyanos de acceso remoto (RAT) y criptadores (herramientas que ofuscan el código de malware para evitar su detección). Estaba disponible tanto en línea como a través de Tor.
El FBI y el Distrito de Columbia colaboraron con la Agencia Nacional contra el Delito del Reino Unido y el Cuerpo Nacional de Policía de los Países Bajos en la incautación de la web, junto con el Bundeskriminalamt alemán (la Oficina de la Policía Criminal Federal de Alemania) y el Servicio de Policía de Irlanda del Norte.
En el anuncio sobre los arrestos, la NCA del Reino Unido dijo que había comenzado a investigar WeLeakInfo.com en agosto de 2019. Había detectado a personas que utilizaban credenciales del sitio en ciberataques en el Reino Unido, Alemania y los Estados Unidos. La Agencia pasó su información al Bundeskriminalamt y al FBI, y ellos coordinaron la incautación de WeLeakInfo.com a las 11:30 pm hora del Reino Unido el miércoles 15 de enero, el mismo día que los hombres fueron arrestados.
Los administradores de WeLeakInfo lo manejaron como un negocio. Tenían su propia cuenta de Twitter, donde actualizaban a sus clientes sobre sus nuevas adquisiciones de bases de datos, a la vez que justificaban su web como un servicio público:
We just added 315 new data breaches!
See if your information was leaked for free at https://t.co/Il5zj4Bl4h #weleakinfo #infosec #databreach #OSINT
— We Leak Info (@weleakinfo) November 24, 2019
Incluso hacían ofertas especiales y promociones:
Happy New Years! Thank you for all your support!
Use code "NEWYEARS" to get 15% off of all plans except Trial.
Expires on January 2nd, 2020 00:00:00 EDT#NewYear #infosec #OSINT
— We Leak Info (@weleakinfo) January 1, 2020
También utilizarían sitios de almacenamiento de texto de terceros para listar nuevos conjuntos de credenciales robadas.
La URL del servicio de venta de credenciales ahora muestra un aviso del FBI explicando que ha incautado el dominio.
WeLeakInfo no es el único sitio que ha vendido datos filtrados. LeakedSource se cerró en 2017, al igual que LeakBase.