UpGuard a découvert une base de données Elasticsearch non sécurisée contenant environ 22 millions de requêtes web. Ces requêtes incluent des informations telles que le domaine de destination, l’adresse IP de l’utilisateur et des métadonnées comme la localisation et le fournisseur d’accès Internet. 95% de ces requêtes étaient dirigées vers leakzone.net, un forum actif dans le partage de matériels cyber illicites comme des outils de hacking et des comptes compromis.
Leakzone est un forum qui a survécu à la fermeture d’autres sites similaires par les forces de l’ordre, comme Raid Forums en 2022 et Breach Forums en 2023. Le site a commencé à gagner en popularité à partir de la seconde moitié de 2020.
L’analyse des données a révélé que leakzone.net était le domaine le plus mentionné, suivi par accountbot.io avec 2,7% des requêtes, un site de vente de comptes compromis. En tout, 281 domaines uniques ont été identifiés, incluant des sites de sport et d’actualités qui pourraient avoir été mentionnés dans les logs à cause de redirections depuis Leakzone.
La collection de données contient 185 000 adresses IP uniques, dépassant largement le nombre total d’utilisateurs de Leakzone, estimé à 109 000. Cela suggère que certains utilisateurs ont utilisé des serveurs avec des adresses IP dynamiques pour masquer leur véritable adresse IP.
Cet article constitue une analyse technique de la fuite de données et vise à informer sur l’ampleur de l’exposition des données et les implications pour la confidentialité des utilisateurs.
🧠 TTPs et IOCs détectés
TTPs
T1583.006 (Compromise Infrastructure: Web Services), T1071.001 (Application Layer Protocol: Web Protocols), T1566.001 (Phishing: Spearphishing Attachment), T1020 (Automated Exfiltration)
IOCs
leakzone.net, accountbot.io
🔗 Source originale : https://www.upguard.com/breaches/leakzone-net
🖴 Archive : https://web.archive.org/web/20250726091007/https://www.upguard.com/breaches/leakzone-net