Dit is de hacker achter de megahacks van LinkedIn en MySpace

De afgelopen paar weken werd het bekend dat er meer dan een half miljard gestolen wachtwoorden van de grootste sociale mediasites ter wereld verhandeld worden op de zwarte markten van het internet.

De data die jaren geleden werd gestolen van sites als LinkedIn, MySpace, Tumblr en meer, heeft al tot talloze gestolen accounts geleid. Normale mensen zijn er de dupe van geworden, maar ook celebrities en grote namen als Mark Zuckerberg, Katy Perry,Lana Del Rey en Twitter-oprichter Biz Stone.

Wekenlang wist niemand wie er achter deze hacks en gelekte data zat. De enige naam die eraan verbonden werd was Peace, of Peace of Mind, een cybercrimineel die de gehackte data verkocht op het darkweb. Maar toen een site die hacks bijhoudt de MySpace-hack aankondigde, dook er een andere naam op: Tessa88.

Tot nu toe heeft Tessa88 vooral van achter de schermen gehandeld. Niemand weet wie ze zijn of wat hun rol in deze megahacks. Maar dankzij een interview met Tessa88, en interviews met meerdere bronnen die de groep volgen, heeft Motherboard een grof plaatje weten samen te stellen.

"Ik zit al heel lang op het netwerk :))," schreef Tessa88 in een chat die we in het Russisch voerden, toen we vroegen wie ze waren. Ze voegden toe dat hun echte naam niet Tessa was, maar dat het alleen de naam was "van een hoer uit Australië."

De gebruikersnaam Tessa88 dook echter pas in april 2016 op, of misschien een paar maanden eerder, op de onguurste uithoeken van het darknet. De cybercriminelen probeerden gehackte databases op Russische cybercrimeforums te verkopen.

Sindsdien heeft Tessa88 tussen de $50,000 en $60,0000 aan bitcoin verdiend. Dat stelt tenminste Andrei Barysevich, directeur van het Oost-Europese onderzoeksteam van het beveiligingsbedrijf Flashpoint Intel, die claimt het bitcoinadres van Tessa88 gevonden te hebben.

Barysevich zegt dat het "zeer waarschijnlijk is" dat het er twee mensen achter het alias Tessa88 schuilen, misschien een man en een vrouw, waarvan er slechts een Russisch als moedertaal heeft. Hij baseert dit op hoe ze zichzelf voordoen en hoe ze spreken. (Onze vertaler die met ons de chat met Tessa88 voerde, zei ook dat ze dacht dat we met twee verschillende mensen chatten.)

Tessa88 verkoopt niet alleen de data. Ze zouden ook degenen kunnen zijn die de data een paar jaar geleden stalen van de bedrijfsservers.

"VK.com, LinkedIn, MySpace, Fling, Dropbox, Tumblr, OK.ru, Twitter," zei Tessa88, "Ik heb ze allemaal aan het licht gebracht :-)"

Meerdere mensen die Tessa88 bestuderen, bevestigen dat de hackers waarschijnlijk onderdeel uitmaakten van de oorspronkelijke groep cybercriminelen die LinkedIn, MySpace en de andere bedrijven hackten. De groep is waarschijnlijk Russisch of Oost-Europees.

Wat er sinds de hacks gebeurde is een beetje onduidelijk. Maar sommigen speculeren dat de hackers de data al die jaren gebruikten zonder erover te publiceren.

"De intentie was niet om de informatie te publiceren of verkopen, maar om zelf te gebruiken," zei Mark Arena, CEO van Intel 471, een beveiligingsbedrijf dat zich richt op het darkweb.

Het idee is volgens Barysevich om te kijken of de combinaties van wachtwoorden en gebruikersnamen van LinkedIn of MySpace ook zouden werken op andere diensten waar ze geld konden stelen, zoals PayPal. Criminelen hebben geautomatiseerde tools gebouwd die honderden of duizenden accounts kunnen nemen om uit te proberen op een bepaalde site, volgens Barysevich.

Nadat ze dit een paar jaar deden, hadden Tessa88 en de anderen niets meer aan de data, en besloten ze om nog een laatste slaatje eruit te slaan door de databases op de vrije markt te verkopen.

Tessa88 zegt dat ze data nu verkochten omdat ze "erg ziek" waren en geld nodig hadden "om te revalideren." De hackers wilden niet vertellen waar ze dan precies aan leden.

Hier wordt het verhaal een beetje troebel. Een paar maanden nadat Tessa88 de databases begon te verkopen op Russische forums, dook de data ook op bij LeakedSource, een site die datalekken bijhoudt, en op The Real Deal, een darkweb marktplaats die zich naast in drugs en andere illegale goederen ook specialiseert in hacktools en gestolen data.

Het was echter niet Tessa88 die de data op The Real Deal verkocht. Het was een andere hacker, die zich identificeerde als man en het pseudonym Peace of Mind gebruikte. Er heerst een soort rivaliteit tussen de twee hackers, zoals ZDnet in een recent artikel uitlegt.

"Peace_of_mind is een flikker die onterecht de eer opstrijkt," vertelt Tessa88 aan Motherboard, en voegt eraan toe dat Peace geen onderdeel was van de groep die de sites oorspronkelijk hackten. "Ik deelde een datadump voor analyse! En hij begon dat te verkopen."

Peace zegt iets soortgelijks over Tessa88.

"Hij stal de gehackte databases van een oude vriend," vertelt Peace in een online chat. "Lang geleden. En hij is ze gaan verkopen."

De twee lijken nog niet klaar te zijn. Er circuleren al een aantal weken geruchten over een aankomende datadump met honderden miljoenen Facebook-accounts. Eerder deze week adverteerde Tessa88 in hun chatstatus 500 miljoen Facebook-accounts voor 5 bitcoin, of rond de 3600 euro. Maar een in chat zei de hacker eigenlijk rond de 800 miljoen accounts te hebben.

Ondanks hun beloftes dat ze een gedeelte zouden delen, hebben noch Tessa88 noch Peace data geproduceerd. Of de Facebook-data legitiem is of niet, zit het er dik in dat er meer data aankomt.

"De wereld gaat binnenkort goed spul zien. :-)," schreef Tessa88 voordat ze een aantal dagen verdwenen. "Ik ben het publiek een beetje aan het opwarmen :-) Ik ben er best goed in, toch?"

Joseph Cox hielp bij het onderzoeken van dit artikel.