O nome RaidForums é tão assustador para a comunidade global de cibersegurança quanto Voldemort é para os personagens da série de livros “Harry Potter” — poderíamos até chamá-lo de “o fórum cujo nome não deve ser mencionado”. Trata-se da maior comunidade de criminosos cibernéticos da surface web, conhecida por ser palco para negociações abertas de bancos de dados gigantescos e organização de ataques coordenados contra alvos em comum. Foi lá, por exemplo, que mais de 220 milhões de CPFs foram vazados no começo deste ano, conforme apurado pela The Hack no mês de fevereiro.
- Investigamos! Tudo o que você queria saber sobre o vazamento de 220 milhões de CPFs
- RaidForuns deixa seção de administradores exposta
- O que o grupo ShinyHunters nos ensina sobre vazamentos de dados
Mesmo sendo um site universalmente popular para o crime cibernético, ele se manteve firme e forte durante muitos anos — até que, nos últimos dias, ele misteriosamente saiu do ar. Acontece que, de acordo com o próprio administrador do fórum (conhecido simplesmente como Omnipotent), o que aconteceu foi que o RaidForums decidiu trocar o registrador de seu domínio .com para um novo gestor (o NameSilo), mas acabou tendo sua conta desativada após uma notificação formal enviada por uma entidade governamental. Ao que tudo indica… Essa entidade foi o Governo Federal do Brasil.
“Nosso domínio principal foi desativado temporariamente (ou seja, colocado em modo 'clientHold") por causa de algum governo reportando nosso conteúdo ao registrador. Isso nunca ocorreu antes e só aconteceu agora porque recentemente migramos para um registrador conhecido como NameSilo", explicou Omnipotent. Até então, o RaidForums confiava seu domínio ao CloudFlare, e a ideia da migração era garantir uma operação de segurança (opsec) mais robusta. Ao que tudo indica, o tiro saiu pela culatra, já que o NameSilo não foi relutante em derrubar o site após receber a notificação.
Visto que tais trocas de registradores precisam respeitar um intervalo de 60 dias, os administradores do fórum decidiram usar um mirror (site “espelho” com uma URL secundária) até que o domínio oficial possa voltar a ser utilizado. Dissent Doe, analista de segurança especializado em vazamentos, publicou em sua conta do Twitter uma mensagem afirmando ter conversado com Omnipotent e descoberto que a notificação em si teria partido do governo brasileiro. Obviamente, essa é uma informação difícil de confirmar, mas nossos governantes têm motivos de sobra para querer o RaidForums desativado.
Updating: According to RF's owner/admin, it was the Brazilian govt. and only had impact because the domain was mid-transfer. https://t.co/KFTvmEB0yB
— Dissent Doe, PhD (@PogoWasRight) October 2, 2021
Afinal, além do megavazamento de CPFs no começo de 2021 que já citamos, a comunidade constantemente disponibiliza (de forma gratuita ou para venda) bancos de dados relativos a cidadãos brasileiros, com informações completas incluindo nome, endereços, números de telefone, números de carteiras de motorista e até cartões de crédito clonados. A coleção mais recente afetando cidadãos tupiniquins identificada no RaidForums apareceu no finalzinho do mês de julho, sendo um pacote de 1,2 GB de registros que estava sendo comercializado por US$ 300 (cerca de R$ 1,6 mil).
Fonte: BleepingComputer, BeInCrypto