O TecMundo conseguiu, com exclusividade, entrevistar o fundador e administrador do BreachForums, fórum que vêm chamando atenção de pesquisadores e veículos de mídia especializados ao redor do globo por se autodenominar o sucessor do RaidForums, apreendido por uma coalizão de autoridades policiais em abril deste ano. A nova comunidade ficou famosa sobretudo após ser palco do anúncio de um suposto banco de dados extraído da polícia de Xangai e que incluiria dados pessoais de 1 bilhão de chineses.
O cibercriminoso, identificado pelo pseudônimo de “pompompurin”, conta ter iniciado o desenvolvimento do BreachForums antes mesmo da queda do RaidForums. A criação do site data de 4 de março deste ano, sendo que ele foi disponibilizado ao público no dia 16 do mesmo mês. De lá para cá, os holofotes se voltaram à nova comunidade por ela servir como palco para a compra e venda de informações pessoais e sensíveis obtidas através de métodos criminosos, como invasão de contas e campanhas de phishing.
“Eu fundei ele inteiramente sozinho”, afirmou pompompurin — cujo apelido origina-se do personagem homônimo do universo Hello Kitty, da gigante japonesa Sanrio. “Eu nunca planejei iniciar meu próprio fórum, mas quando o RaidForums foi apreeendido, eu soube de imediato que um monte de pessoas iria tentar substituí-lo com golpes. Um exemplo foi o DarkNetWorld. Eles enganaram algumas pessoas e lucraram alguns milhares de dólares anunciando a si próprios como substitutos do RaidForums”, explica.
“Seria capaz de criar uma cópia do site em um dia se ele fosse apreendido e eu fosse preso.”
A decisão, porém, também teve motivações pessoais. “Eu sentia falta do RaidForums e queria juntar a comunidade novamente”, afirma. No momento em que esta reportagem foi escrita, de acordo com o próprio administrador do site, o BreachForums possuía 13.510 tópicos, 159.858 publicações, 56.700 usuários e 507 bancos de dados disponíveis para download. Juntos, tais coleções somam mais de 10,89 bilhões de registros; um recorde em comparação com o finado RaidForums, que atingiu o pico de 10,83 bilhões.
Crescimento exponencial
“Nós estamos ganhando usuários rapidamente por conta das várias coberturas midiáticas de diversos vazamentos que estão sendo colocados à venda. Em média, estamos ganhando mais de 500 usuários, 200 tópicos e 2,3 mil postagens por dia. Falando sobre tráfego, nosso site atinge a marca dos 12 mil visitantes únicos por dia, mas é difícil mensurar de forma precisa”, explica pompompurim. Visto que o domínio do fórum é constantemente bloqueado em vários países, o número poderia atingir níveis ainda maiores.
Questionado sobre sua carreira no cibercrime antes da fundação do BreachForums, o cracker confessa ter participado ativamente do mercado de compra e venda de dados. “Eu era muito conhecido no RaidForums, sendo um dos principais usuários de lá. Eu vazava regularmente bancos de dados e, às vezes, simplesmente conversava com as pessoas. Também ganhei o dinheiro que financiou o início do BreachForums vendendo alguns bancos de dados no RaidForums alguns meses antes dele ser confiscado”, explica.
Questionado sobre a decisão de abrir a comunidade na surface web, ele defende: “A acessibilidade é um grande fator. Permitir que os usuários se inscrevam através da clearnet traz muitos usuários. Também não tenho medo de ter o mesmo destino que RaidForums, pois, ao contrário deles, não há uma única pessoa com acesso a tudo. Nosso outro administrador também tem acesso total e seria capaz de criar uma cópia do site em um dia se ele fosse apreendido e eu fosse preso”.
“Ganhei o dinheiro que financiou o início do BreachForums vendendo alguns bancos de dados.”
Os esforços de pompompurin para evitar que seu fórum tenha o mesmo fim são, no mínimo, louváveis. No canal oficial da comunidade no Telegram, ele atualiza seus seguidores constantemente a respeito de problemas com tentativas corporativas de derrubar o domínio principal e oferece alternativas emergenciais. “Eu sabia desde o início que o site seria altamente viado, então fiz tudo o que estava ao meu alcance para dificultar ao máximo sua queda. Temos múltiplos domínios de backup, um serviço escondido e outros mecanismos prontos para dificultar sua derrubada”, garante.
RaidForums: um trabalho de meses
Se você nunca ouviu falar do RaidForums, saiba que ele era uma comunidade aberta e facilmente acessível na surface web (qualquer internauta podia abrir uma conta) para que criminosos cibernéticos trocassem, comprassem e vendessem dados pessoais e corporativos furtados através de ciberataques. Entre os vazamentos mais significativos que surgiram por lá, podemos destacar a exposição de dados de 223 milhões de brasileiros ocorrida em janeiro de 2021. Na ocasião, CPFs e outras informações pessoalmente identificáveis (PII) de quase toda a população do país foi colocada à venda.
A “glória” do RaidForums chegou ao fim após seu domínio ser apreendido em uma operação conjunta do Departamento de Justiça dos Estados Unidos (DOJ) e outros órgãos globais como o FBI, a britânica NCA, a portuguesa Polícia Judiciária e a Agência da União Europeia para a Cooperação Policial (Europol). Além de derrubar o site, as autoridades anunciaram a prisão de Diogo Santos Coelho, cidadão português de 21 anos de idade e que atuaria como administrador do site através do pseudônimo “Omnipotent”.
“Temos múltiplos domínios de backup, um serviço escondido e outros mecanismos prontos para dificultar sua derrubada.”
A operação, denominada “Tourniquet”, contou com membros dos órgãos citados infiltrados durante meses não apenas no próprio fórum, mas também em serviços de comunicação como o Telegram e o Discord. Através desse extenso trabalho de reconhecimento, foi possível traçar o perfil de Diogo — em uma mensagem, o cracker assumiu que “só ataca coisas que lhe dão grandes quantidades de dinheiro”. Oportunamente, ele também atendia pelos apelidos de Downloading, Shiza e Kevin Maradona.
Durante sua detenção, as autoridades solicitaram formalmente informações sobre suas contas na casa de câmbio de criptomoedas Coinbase, sua plataforma favorita para armazenar ganhos e lavar dinheiro. Embora ainda não seja possível calcular o montante exato, estima-se que Omnipotent tenha lucrado milhões de dólares com venda de dados roubados — não apenas com a venda direta de informações, mas também prestando serviços como “intermediário”, analisando a qualidade de bases de dados e ficando com uma porcentagem do que era negociado entre dois ou mais foristas.
Ordem no cibercrime
O BreachForums segue uma estrutura bem parecida com a do RaidForums, com sistema de intermédio para garantir que os golpistas não passem a perna em si mesmos. Além disso, é possível ganhar badges ao cumprir determinadas ações, aumentar seu score de confiabilidade participando ativamente dos tópicos de discussão e adquirir créditos que podem ser usados para “desbloquear” conteúdos que são postados, de certa maneira, de forma gratuita. O próprio pompompurin se posiciona como intermediário gratuito.
Questionado sobre sua visão a respeito do mercado de cibersegurança brasileiro, o administrador é enfático: “Honestamente, não tenho nenhuma opinião formada sobre isso. Não sou familiarizado com a cena de segurança cibernética no Brasil. Apenas me lembro de que o país tinha um monte de vazamentos à venda no RaidForums, o que levou o governo brasileiro a tentar ir atrás do fórum”. De fato — em outubro de 2021, após ações das autoridades nacionais, a comunidade de Omnipotent foi obrigada a usar um domínio alternativo durante alguns dias.
Será o BreachForums o novo covil seguro para negociações obscuras de dados pessoais ou o site também será derrubado em um futuro breve? Essa é uma pergunta que apenas o tempo poderá responder.
* Entrevista feita pelo jornalista Ramon de Souza
