深層サイバー犯罪フォーラムで宣伝されている不正台帳は、現在、OnlyFansから流出した3億4,000万件の機密ユーザーレコードが含まれているという主張を受けて、セキュリティ研究者による精査が進められています。予備的な声明ではプラットフォームのコア層データの壊滅的な侵害を示唆していましたが、深層フォレンジック分析により、はるかに悪質でありながら一般的な方法論が明らかになりました:異なるサービス領域からの過去のリークをプログラム的に集約し、正当なOnlyFansハンドルに継ぎ目なく接合して、身元の匿名性除去に最適化された武装カタログを作成する方法論です。
悪質なリスティングは現在の運用サイクルの開始時に著名なサイバー犯罪取引所に出現しました。Euphoric_Reply_5727というデジタルハンドルで活動する脅迫行為者は、3億4,000万ユーザーレコード・アーカイブと指定されたデータベースを提示し、3億4,000万ユーザーレコード、コンテンツクリエイターと消費者の両方に属するデータの所有権を明示的に主張しました。敵対者はこのデータキャッシュの評価額を0.313 BTCに固定し、公開時点での約76,000ドルの資本要件に相当しました。
基本的な広告では、データベースアーキテクチャがOnlyFansのバックエンド関連ノードから直接抽出されたと主張していました。流出したデータベクトルは、ユーザーアカウントハンドル、認証済み法的名称、電子メールアドレス、電話番号シーケンス、フォロワー数、エンゲージメント指標、アップロードされたマルチメディア数、アカウント分類階層、相互接続されたソーシャルネットワーク、および基礎となる財務トランザクション詳細を含む、広大な高特権メトリクス行列を構成するとされていました。
調査ジャーナリストに対峙されて、脅迫行為者はすぐに技術的叙述を修正しました。Telegram経由の暗号化通信ストリームでは、情報源はOnlyFansが構造的システムの侵害を受けていないことを認め、むしろ台帳は祖先のデータ侵害とオープンソースインテリジェンス(OSINT)のモザイクから合成されたことを認めました。運用者の更新された開示によれば、Twitter、Instagram、Spotify、および隣接する消費者ネットワークを標的とした過去の侵害からの侵害されたアカウントプロフィールが、アクティブなOnlyFansエンドポイントに対してアルゴリズム的にマップされました。
侵害されたデータセットのフォレンジック解剖学
ジャーナリストとインシデント対応プラクティショナーは、不正リポジトリから抽出された粒度の高いデータサンプルを正常に取得・監査しました。基礎的な構造は、アクティブなOnlyFansバックエンドインフラストラクチャを反映するネイティブスキーマではなく、フラットで形式化されていないプレーンテキスト出力として表示されました。個別の文字列シーケンスはアカウントログイン、メールアドレス、電話レコード、タイムスタンプ付きの初期化日、プロフィールエンゲージメント、外部ソーシャルリダイレクト、およびプロフィール分類を整理していました。極めて重要なことに、一部の行列は制限されたcardパラメータを公開し、販売者はこれをプロフィールに関連付けられた金融商品の最後の4桁として特徴付けました。
これらのサンプルの包括的な検証は、OnlyFansを標的とした直接的なインフラストラクチャ侵害のテーゼを実証できませんでした。レコードは高い構造的ばらつきを示し、未配置フィールド、Noneなどの汎用ヌル値プレースホルダ、および公開スクレイプ可能なプロフィールメトリクスを含んでいました。これは、アクティブな本番環境内の最新消費者プラットフォームによってデプロイされた標準化されたデータベースモデルからは大きく異なる形式です。
それにもかかわらず、テレメトリの重要なサブセットが本物の運用プロフィールと正確に相関していました。アナリストはサンプルから抽出された複数の異なるユーザーハンドルと補助フィールドを相互参照し、10個の一意のユーザー識別子(UID)が実際のOnlyFansアカウントに正確にマップされていることを確認しました。ただし、対応するメールアドレスをプラットフォームの登録フォームに対して検証しようとした場合、セキュリティゲートは事前存在するプロフィール関連の明示的な確認を提供することを拒否しました。その結果、このオーバーラップの確定的な認証は、OnlyFansのデータ保護責任者による内部管理監査を通じてのみ実行できます。
金融カードデータの流出に関する主張は完全に未検証のままです。初期トリアージは、支払い方法の最後の4桁が本物のOnlyFansユーザー環境に属しているのか、祖先のデータ侵害から収集されたのか、または黒市での評価を人為的に膨らませるためにデータセットに密かに注入されたのかを決定的に確認することができませんでした。
プライバシー実装とデータ仲介業の変態
検証されたコアインフラストラクチャ侵害がない場合でも、このグループ化されたデータセットは消費者プライバシーに対して深刻で実存的な脅威をもたらします。システムハンドル、電話番号、メール登録、およびソーシャルプロフィールの戦略的なペアリングは、悪質な行為者に匿名の仮名の背後で活動する人間行為者を識別するために必要なレバレッジを装備させます。このアクション可能なインテリジェンスは、ターゲットを絞ったフィッシングキャンペーン、クリエイターとサブスクライバーを対象とした恐喝スキーム、認証情報スタッフィング侵入、または極めてターゲット化されたデジタルハラスメントキャンペーンを促進します。
このイベントは盗まれたテレメトリの不正経済内でのパラダイムシフトを示しています。サイバー犯罪者はもはや、高プロフィール企業境界に対するゼロデイエクスプロイトの継続的実行への厳格な依存を維持していません。代わりに、従来の侵害の戦術的リサイクルが自動化されたオープンソースデータスクレイピングおよびアルゴリズムレコードリンケージと組み合わされることで、敵対者は高価値インテリジェンス製品を合成することができます。ここで最も重要な危険は、侵害されたパスワード文字列ではなく、デジタルペルソナと物理的な人間アイデンティティの間に確立された永続的で不変のリンクにあります。
本稿執筆時点では、データベースはサイバー犯罪ネットワーク内で積極的に取得リストに掲載されています。侵害を特定した編集チームはOnlyFansの企業幹部に正式な問い合わせを送付していますが、公式な応答はまだアクティブな調査タイムラインに統合されていません。
翻訳元: https://meterpreter.org/onlyfans-data-leak-check-aggregated-records/
