圈小蛙
臭名昭著的黑客论坛 BreachForums 的最新版本遭遇数据泄露,其用户数据库表已在网上泄露。
BreachForums是一系列黑客论坛的名称,这些论坛用于交易、出售和泄露被盗数据,以及出售对企业网络和其他非法网络犯罪服务的访问权限。
该网站是在第一个此类论坛RaidForums被执法部门查封,其所有者“Omnipotent”被捕后推出的。
虽然BreachForums过去曾遭受数据泄露和警方的调查,但它已多次在新域名下重新上线,一些人指责它现在已成为执法部门的诱饵。
昨天,一个名为ShinyHunters勒索团伙的网站发布了一个名为 breachforum.7z 的 7Zip 压缩文件。
此压缩包包含三个文件,文件名分别为:
- shinyhunte.rs-the-story-of-james.txt
- databoose.sql
- breachedforum-pgp-key.txt.asc
ShinyHunters勒索团伙的一名代表声称,他们与分发此存档的网站没有任何关联。
存档中的“breachedforum-pgp-key.txt.asc”文件是2023年7月25日创建的PGP私钥,BreachForums使用该私钥签署管理员的官方消息。
“databoose.sql”文件是一个MyBB用户数据库表(mybb_users),其中包含323,988条成员记录,包括成员显示名称、注册日期、IP地址和其他内部信息,然而,大多数IP地址都映射到本地环回IP地址 (0x7F000009/127.0.0.9),因此它们用处不大。
然而,有70,296条记录不包含127.0.0.9这个IP地址,而且我们测试的记录都指向一个公共IP地址。这些公共IP地址可能对相关人员构成安全隐患,但对执法部门和网络安全研究人员来说却很有价值。
最新泄露的用户数据库中,最后一次注册日期为2025年8月11日,与之前位于breachforums[.]hn的BreachForums论坛关闭日期相同。此次关闭是由于部分涉嫌运营者被捕所致。
当天,ShinyHunters勒索团伙的一名成员在名为“Scattered Lapsus$ Hunters”的Telegram频道上发帖称,该论坛是执法部门的诱饵陷阱。BreachForums的管理员随后否认了这些指控。
2025 年 10 月,执法部门查封了BreachForums[.]hn 域名,此前该域名被重新用于勒索受ShinyHunters 勒索团伙实施的Salesforce 数据盗窃攻击影响的公司。
当前BreachForums管理员(代号“N/A”)已承认此次新的数据泄露事件,并表示 MyBB 用户数据库表的备份文件暂时暴露在一个不安全的文件夹中,且仅下载过一次。
“我们想回应最近关于所谓数据库泄露的讨论,并清楚地解释发生了什么,”N/A 在 BreachForums 上写道。
“首先,这并非近期发生的事件。相关数据源自2025年8月的一次用户表泄露事件,当时BreachForums正在从.hn域名恢复/重建。”
“在恢复过程中,用户表和论坛 PGP 密钥曾短暂地存储在一个不安全的文件夹中。我们的调查显示,该文件夹在那段时间内只被下载过一次,”管理员继续说道。
虽然管理员表示BreachForums成员应该使用一次性电子邮件地址来降低风险,并且大多数 IP 地址都映射到本地 IP,但该数据库仍然包含执法部门可能感兴趣的信息。