AntoineForum28
2021-01-14 09:44:02
Rappel des faits
https://archive.is/mqvN8
Menace de mort sur mon topic contre moi avec ce qui semble être une arme à feu ->https://image.noelshack.com/fichiers/2021/02/4/1610606437-inkedmoxromflingue-li.jpg
Seulement 1h d'enquête ont suffit à retrouver son identité, en grande partie grâce à
- Mon programme qui archive les topics et posts depuis début 2019, facilitant les recherches et l'usage du ML dans certaines conditionshttps://image.noelshack.com/fichiers/2019/31/6/1564785600-capture.png
- Ma base de données CRIB, contenant plus de 2 milliards d'utilisateurs (des leaks en gros), son développement sur-mesure m'a permis de l'adapter à mes besoinshttps://image.noelshack.com/fichiers/2020/42/5/1602880643-instructions.pnghttps://image.noelshack.com/fichiers/2021/02/2/1610429005-crib-prog.pnghttps://image.noelshack.com/fichiers/2021/02/4/1610611263-1602880650-leak-1-1.png
La première phase, consistant à récolter des données OSINT, est semi-automatisée (scripts etc...)
L'autre a permis de récupérer des données précieuses sur Risibank (sans avoir eu besoin de demander des logs à l'op du site)
Une note importante : l'heure de prise de la photo et les données EXIF semblent différer de l'heure affiché sur l'ordinateur
Ayant d'abord suspecté une manipulation de l'EXIF, en fait, le fuseau horaire n'est pas enregistré, seulement le timestamp, c'est donc au logiciel de calculer en fonction de son fuseau horaire
Autre point important : l'op de la photo semble brouiller les touches du clavier, hors la seule information d'identification présente est la langue du clavier. De plus, après la touche N, mal brouillé, il semble se dessiner le début d'un M et non d'une virgiule, comme sur les QWERTY. Ce point sera abordé plus tard, ainsi que le fuseau horaire.
Cette phase a permis d'établir deux secondaires importants de "Moxrom"
catch-
catchthedrift
Une recherche via CRIB manuelle (sans l'aide du ML) a permis d'établir que ce pseudo est lié à différents comptes, dont une adresse email importante
mailto:geekedupish@gmail.com
Au nom de Stanton Smith
Le nom d'utilisateur "geekdupish" lui est par ailleurs associé
Une recherche sur cette email et IP (Verizon) a permis de le relier à une mine de données, dont cette chaîne Youtube https://www.youtube.com/user/geekedupish/videos
Ainsi que le nom d'utilisateur smitty10
https://www.youtube.com/user/smitty10/videos
La seule vidéo publiée semble être une vidéo tournée dans une classe, avec un drapeau des USA
Datant de 2014, cela semble confirmer l'âge approximatif de la personne sur le forum et de smitty10.
Un autre nom d'utilisateur matchant sur CRIB est "stanton_", moins spécifique, mais Stanton est une ville en Californie.
Cette ville permet de corroborer le fuseau horaire avec l'heure affiché sur le PC au moment de la prise de la photo.
D'autres données sont disponibles, OSINT ou sur CRIB, mais les données prennent ensuite du temps à analyser car chaque renvoi de résultats donnera des autres résultats qui en renverront encore plus, ce qui permet d'en savoir encore plus sur la personne.
---
Je n'ai pas poussé plus loin, il m'a suffit de seulement 1h pour en arriver là
J'ai toute une mine de données à analyser si j'ai envie
c'est un repost, topic original d'il y a quelques minutes (c'est juste le même mais le premier que j'ai fait) : https://archive.is/rIqbb
autres infos pour ceux qui veulent
https://archive.is/mkGyC
+ fiber tapping
Le logo de CRIB
https://fr.wikipedia.org/wiki/Gadsden_flag
---
Pour se protéger
- Mot de passe unique
- Email unique
- IP utilisé sans se connecter à d'autres services perso (même dans le cas d'une IP dynamique, on procède par élimination)
etc...
Les mdp pour ce qui est de MD5 en plus on peut faire des recherches inversées sans avoir besoin de les casser, contrairement à bcrypt
