Очередной виток в истории хакерского форума BreachForums завершился тем, что уже сами участники подпольной площадки оказались жертвами утечки данных. В сеть выложен SQL-дамп базы пользователей ресурса, а также приватный PGP-ключ администрации, что создает серьезные риски деанонимизации и усиливает давление правоохранительных органов на киберпреступное сообщество.
Эволюция BreachForums: от RaidForums до очередных закрытий
Изначально нишу «форумов для утечек» занимал ресурс RaidForums, на котором торговали украденными базами данных и публиковали слитую информацию. В 2022 году платформа была закрыта в результате операции ФБР, после чего под псевдонимом Pompompurin был запущен новый форум — BreachForums (Breached).
BreachForums быстро стал одной из ключевых площадок для торговли скомпрометированными данными. Среди наиболее резонансных публикаций — компромат на поставщика медицинских услуг Конгресса США DC Health Link и данные миллионов пользователей Twitter. В марте 2023 года ФБР арестовало владельца форума Конора Брайана Фитцпатрика (Pompompurin), после чего сайт был закрыт, хотя позже и возрождался в новых инкарнациях.
Одна из последующих версий, BreachForums v2, была запущена в 2024 году при участии группировки ShinyHunters, а также фигур под псевдонимами Baphomet и IntelBroker. В апреле 2025 года этот форум был отключен после предполагаемой компрометации через 0-day уязвимость в движке MyBB. Осенью 2025 года ФБР изъяло домен breachforums[.]hn, что, по заявлениям самих злоумышленников, сопровождалось получением правоохранителями резервных копий базы данных форума.
Новый слив: архив breachedforum.7z и данные пользователей
По данным Bleeping Computer, 9 января 2026 года на сайте, использующем название ShinyHunters, был опубликован архив breachedforum.7z. Внутри находились три файла: текстовый документ с историей некоего «Джеймса», SQL-дамп базы данных BreachForums и файл с PGP-ключом администрации. Представитель ShinyHunters заявил, что группировка не связана с этим ресурсом, что подчеркивает высокую фрагментированность и недоверие внутри криминального сообщества.
Компрометация PGP-ключа администрации BreachForums
Файл с PGP-ключом содержит приватный ключ, сгенерированный 25 июля 2023 года и использовавшийся для подписи официальных сообщений администраторов форума. Изначально ключ был защищен паролем, то есть без кодовой фразы злоумышленники не могли бы выдавать себя за администрацию.
Однако специалисты компании Resecurity отметили, что позже на том же сайте был опубликован и пароль к приватному PGP-ключу. Исследователи подтвердили его подлинность, что делает ключ полностью скомпрометированным. Это подрывает доверие к любым историческим сообщениям и подписям от имени BreachForums и открывает возможности для фишинга и дезинформации в среде киберпреступников.
SQL-дамп MyBB: почти 324 тысячи учетных записей
Основной интерес для аналитиков кибербезопасности представляет SQL-файл с таблицей пользователей MyBB, включающей 323 988 записей. Для каждой учетной записи доступны никнейм, дата регистрации, IP-адрес и ряд служебных параметров.
Анализ показывает, что большинство записей содержат IP-адрес 127.0.0.9 — это локальный loopback-адрес, не дающий информации о реальном местоположении пользователя. Однако 70 296 записей включают публичные IP-адреса, что уже представляет значительную ценность для правоохранительных органов и исследователей угроз: такие данные могут использоваться для корреляции с другими утечками, провайдерами и временными метками активности.
Последняя дата регистрации в утекшей базе — 11 августа 2025 года. В этот же день версия BreachForums на домене breachforums[.]hn была закрыта после ареста нескольких предполагаемых операторов ресурса, что подтверждает связь дампа с событиями конца лета 2025 года.
Позиция администрации BreachForums и технические детали инцидента
Текущий администратор BreachForums под ником N/A подтвердил факт утечки. По его версии, речь идет не о новом взломе, а о «старой» компрометации, произошедшей в августе 2025 года в ходе восстановления форума после потери домена .hn.
Администратор утверждает, что резервная копия таблицы пользователей и PGP-ключ форума на короткое время оказались в незащищенной директории веб-сервера и были скачаны только один раз: «Во время восстановления таблица пользователей и PGP-ключ форума короткое время хранились в незащищенной папке. Наше расследование показало, что папку скачали только один раз». При этом он подчеркивает, что значительная часть IP-адресов в базе — локальные.
С технической точки зрения подобная ошибка — классический пример нарушения операционной безопасности: временные резервные копии и ключи шифрования оказываются доступны через веб, индексируются сканерами и могут быть обнаружены как автоматическими ботами, так и целенаправленными исследователями.
Риски для пользователей и уроки для кибербезопасности
Утечка базы данных BreachForums демонстрирует обратную сторону киберпреступной инфраструктуры: участники подпольных форумов сами становятся объектом наблюдения и анализа. Публичные IP-адреса, почтовые ящики и временные метки регистрации могут использоваться для деанонимизации, построения профилей активности и установления связей с другими инцидентами утечки данных.
Администратор N/A рекомендует участникам форума использовать одноразовые email-адреса для снижения рисков. Однако на практике многие пользователи таких ресурсов повторно используют почту, пароли и псевдонимы, что значительно упрощает работу аналитиков и правоохранительных органов.
Для защитной стороны — специалистов по информационной безопасности и корпоративных команд реагирования — подобные дампы представляют ценный источник threat intelligence. Они позволяют отслеживать эволюцию группировок, выявлять пересечения с уже известными атаками и лучше понимать механизмы распространения украденных данных.
Инцидент с BreachForums подтверждает тенденцию: инфраструктура киберпреступников уязвима не меньше, чем системы их жертв. Регулярные аресты операторов, изъятие доменов, захват резервных копий и утечки баз пользователей показывают, что ставка на анонимность и безнаказанность становится все менее оправданной. Организациям стоит активнее использовать данные с подпольных форумов для мониторинга компрометации своих учетных записей, укреплять процессы управления ключами и резервным копированием, а пользователям — внимательнее относиться к цифровой гигиене и защите своих данных во всех онлайн-сервисах.
