Am 5. Januar veröffentlichte ein Bedrohungsakteur im illegalen Forum XSS ein Leck, das angeblich von Doxbin[.]com stammte, einer bekannten Paste-Site, auf der Benutzer Doxxing-Informationen, darunter persönlich identifizierbare Informationen (PII) über Einzelpersonen und Familienmitglieder, posteten. In dem Beitrag wiesen sie darauf hin, dass die Daten nicht von ihnen gestohlen wurden. Der Beitrag war ursprünglich auf einem Telegrammkanal erschienen, der für die Kommunikation von Doxbin-Benutzern verwendet wurde.
Am 5. Januar veröffentlichte ein Bedrohungsakteur im illegalen Forum XSS ein Leck, das angeblich von Doxbin[.]com stammte, einer bekannten Paste-Site, auf der Benutzer Doxxing- Informationen, darunter persönlich identifizierbare Informationen (PII) über Einzelpersonen und Familienmitglieder, posteten. In dem Post wiesen sie darauf hin, dass die Daten nicht von ihnen gestohlen wurden. Die Daten waren ursprünglich auf einem Telegrammkanal aufgetaucht, der für die Kommunikation von Doxbin-Benutzern verwendet wurde.
Flashpoint-Analyse: Was durchgesickert ist und was es bedeutet
Die Analysten von Flashpoint führten eine Analyse der angeblichen Doxbin-Datenbank durch und identifizierten insgesamt 41.544 eindeutige Benutzereinträge. Zu den Feldern im Datensatz gehören neben den oben genannten User-Agent-Strings auch Benutzernamen, E-Mail-Adressen und Passwörter.
Auf einer zwischengespeicherten Seite der Servicebedingungen von Doxbin heißt es: „Die einzigen ‚echten‘ Informationen, die wir erhalten, sind Ihre Benutzeragentenzeichenfolge, die nach 7 Tagen von unseren Servern gelöscht wird.“ Dies deutet darauf hin, dass die Administratoren von Doxbin über die Informationen gelogen haben, die sie über Benutzer sammeln.
Die Menge der eindeutigen Benutzernamen in diesem Datensatz lässt darauf schließen, dass eine durchschnittliche Anzahl von Benutzern an Doxxing-Versuchen interessiert ist. Zumindest im Vergleich zum breiteren illegalen Online-Ökosystem. Basierend auf der Analyse der E-Mail-Adressen im Dump ist es unwahrscheinlich, dass die meisten Benutzer raffinierte Bedrohungsakteure sind. Darüber hinaus ist anzumerken, dass einer der im Datensatz erscheinenden Benutzer die Site möglicherweise zu Recherchezwecken aufruft. Oder aus müßigem Interesse und nicht, um Doxxing-Versuche durchzuführen oder Doxxes einzureichen.
Angebliches Doppelspiel und interne Machtkämpfe
Nach dem Leak dieser Datenbank wurde Doxbin[.]org aktualisiert und zeigt nun eine Nachricht an, in der behauptet wird, der vorherige Besitzer der Site habe beschlossen, die Datenbank zu leaken, nachdem er die Site an die ursprünglichen Besitzer zurückverkauft hatte. Die Nachricht behauptete, dieser vorherige Besitzer sei minderjährig und enthielt die angeblichen Aliase. Sie enthielt auch Details zu anderen illegalen Online-Aktivitäten.
Bedrohungsakteure innerhalb illegaler Communities, die Sites wie Doxbin betreiben, belästigen sich regelmäßig gegenseitig und führen Vergeltungsmaßnahmen gegeneinander durch. Dazu gehört auch Doxxing oder die Zuschreibung böswilliger Aktivitäten an die Ziele ihres Zorns.
Doxing kann auch als Druckmittel oder Erpressungsmittel gegen die Administratoren einer Website eingesetzt werden. Flashpoint hat beispielsweise beobachtet, wie Bedrohungsakteure persönliche Daten der Eigentümer des russischsprachigen Marktplatzes Hydra veröffentlichten . Sie veröffentlichten auch die Daten der Administratoren des russischsprachigen Narco-Forums Legalizer.
Der Botschaft einen Schritt voraus
Der Beitrag behauptete auch, dass alle anderen Behauptungen der Akteure, die Datenbank von Doxbin heruntergeladen zu haben, falsch seien. Dies könnte eine Reaktion auf die erneuten Veröffentlichungen von Daten gewesen sein, die auf Websites wie Raid Forums erschienen sind. Einige Zeit später ging die Website offline und ist zum Zeitpunkt des Schreibens dieses Artikels nicht zugänglich. Administratoren haben behauptet, dass sie wegen Wartungsarbeiten nicht erreichbar sei.
Was ist ein Dox?
Das Ziel von Doxing ist es, alle möglichen Informationen über das Opfer zu erhalten. Zu den wertvollen Informationen in sogenannten „Name and Shame“-Kampagnen gehören der vollständige Name des Opfers, seine Adresse, Telefonnummer, der Arbeitgeber, die Namen von Familie und Freunden sowie kompromittierende Bilder. Die wichtigsten Informationen für Doxxer unterscheiden sich von denen für Hacktivisten, die normalerweise versuchen, zusätzliche personenbezogene Daten (PII) wie Geburtsdatum, Sozialversicherungsnummer und Finanzinformationen zu erhalten. Die Doxxing-Techniken reichen von einfachen Google-Suchen bis hin zur Verwendung kostenpflichtiger und/oder fortgeschrittener Tools wie Maltego und Intelius.
In dieser Hinsicht werden die meisten Doxxing-Versuche von unerfahrenen Betreibern durchgeführt, die ihre Ergebnisse nur selten durch Querverweise oder deduktives Denken validieren, um falsche Ergebnisse auszuschließen. Diese Mängel führen häufig zu falschen Anschuldigungen und Fehlinformationen, wodurch unbeteiligte Personen gefährdet werden.
Mehr lesen: Qakbot-Abschaltung: Ein kurzer Sieg im Kampf gegen widerstandsfähige Malware
Identifizieren und mindern Sie Cyberrisiken mit Flashpoint
Verpassen Sie keine Entwicklung in illegalen Communities und schützen Sie Ihre Vermögenswerte, Stakeholder und Infrastruktur, indem Sie neu auftretende Schwachstellen, Sicherheitsvorfälle und Ransomware-Angriffe identifizieren . Melden Sie sich für eine Demo an und sehen Sie Flashpoints umfangreiche Sammlungsplattform, Deep-Web-Chatter und Dark-Web-Überwachungstools in Aktion.