Das beruechtigte Hackerforum BreachForums ist selbst zum Opfer eines massiven Datenlecks geworden. Ein im Netz veroeffentlichter SQL-Dump mit 323.988 Benutzerkonten sowie der private PGP-Schluessel der Forenadministration koennen zur Deanonymisierung von Forennutzern beitragen und erhoehen den Druck auf das Cybercrime-Oekosystem erheblich.
Von RaidForums zu BreachForums: Entwicklung einer Cybercrime-Infrastruktur
Vor BreachForums dominierte RaidForums den Markt fuer gestohlene Datenbanken und geleakte Zugangsdaten, bis die Plattform 2022 im Rahmen einer FBI-Operation vom Netz genommen wurde. Kurz darauf entstand unter dem Alias Pompompurin das Nachfolgeforum BreachForums (Breached), das sich schnell zu einem zentralen Umschlagplatz fuer kompromittierte Datensaetze entwickelte, darunter Leaks bei DC Health Link (Dienstleister des US-Kongresses) und Millionen an Twitter-Konten.
Nach der Festnahme des mutmasslichen Betreibers Conor Brian Fitzpatrick durch das FBI im Maerz 2023 wurde BreachForums zwar abgeschaltet, jedoch in mehreren Iterationen wiederbelebt. Eine spaetere Variante, BreachForums v2, startete 2024 mit Beteiligung der Gruppe ShinyHunters sowie den Akteuren Baphomet und IntelBroker. Im April 2025 wurde diese Version nach einer mutmasslichen 0-Day-Exploitation im MyBB-Forumssystem vom Netz genommen; im Herbst 2025 beschlagnahmte das FBI den Domainnamen breachforums[.]hn, mutmasslich inklusive Datenbank-Backups.
Neuer Leak: Archiv „breachedforum.7z“ mit Benutzer-Datenbank und PGP-Schluessel
Veröffentlichung auf einer Seite unter dem Namen „ShinyHunters“
Laut Berichten von BleepingComputer wurde am 9. Januar 2026 ein Archiv mit dem Namen breachedforum.7z auf einer Website veroeffentlicht, die den Namen ShinyHunters verwendet. Das Archiv enthaelt ein Textdokument, einen SQL-Dump der BreachForums-Datenbank sowie eine Datei mit dem PGP-Schluessel der Administration. Ein Vertreter von ShinyHunters distanzierte sich von der Seite, was die starke Fragmentierung und das Misstrauen innerhalb der Cybercrime-Szene verdeutlicht.
Komplette Kompromittierung des PGP-Schluessels
Der im Archiv enthaltene PGP-Schluessel wurde am 25. Juli 2023 generiert und fuer die Signatur offizieller Admin-Mitteilungen genutzt. Zunaechst war der private Schluessel mit einer Passphrase geschuetzt. Forscher des Sicherheitsunternehmens Resecurity berichten jedoch, dass spaeter auch dieses Passwort auf derselben Seite veroeffentlicht wurde und seine Echtheit bestaetigt werden konnte. Damit ist der Schluessel vollstaendig kompromittiert und alle bisherigen PGP-signierten Nachrichten von BreachForums sind kryptografisch nicht mehr vertrauenswuerdig.
PGP-Schluessel gelten in Underground-Foren als wichtige Vertrauensanker: Sie verifizieren, dass Nachrichten tatsaechlich von einem bestimmten Betreiber stammen. Ist ein privater Schluessel samt Passphrase oeffentlich, koennen Angreifer tauschend echte Mitteilungen signieren, etwa um Phishing-Kampagnen, Social Engineering oder gezielte Desinformation innerhalb der kriminellen Szene zu betreiben.
SQL-Dump mit 323.988 Accounts und 70.296 echten IP-Adressen
Der SQL-Dump enthaelt die MyBB-Benutzertabelle mit 323.988 Eintraegen. Fuer jede Konto-ID sind unter anderem Benutzername, Registrierungsdatum, IP-Adresse sowie verschiedene technische Attribute hinterlegt. Ein grosser Teil der Datensaetze weist als IP-Adresse 127.0.0.9 aus – eine Loopback-Adresse, die keinen Rueckschluss auf die tatsaechliche Herkunft zulaesst.
Besonders relevant sind jedoch 70.296 Eintraege mit oeffentlichen IP-Adressen. Diese koennen von Strafverfolgungsbehoerden, CERTs und Threat-Intelligence-Teams genutzt werden, um Aktivitaeten zu korrelieren: etwa mit Logdaten von Service-Providern, anderen Leaks oder Zeitschienen bekannter Angriffe. Die letzte verzeichnete Registrierung datiert auf den 11. August 2025 – genau den Tag, an dem die Version unter breachforums[.]hn nach Festnahmen mutmasslicher Betreiber offline ging. Dies stuetzt die Einordnung, dass der Dump eine Momentaufnahme kurz vor dem Takedown darstellt.
Technische Ursache: klassischer OPSEC-Fehler bei Backups und Schluesseln
Der aktuelle Administrator von BreachForums, der unter dem Alias N/A auftritt, bestaetigte den Vorfall. Seiner Darstellung nach handelt es sich nicht um einen neuen Hack, sondern um eine bereits im August 2025 erfolgte Kompromittierung waehrend der Wiederherstellung der Plattform nach dem Verlust des .hn-Domainnamens. Demnach lagen sowohl ein Backup der Benutzertabelle als auch der PGP-Schluessel kurzzeitig in einem ungeschuetzten Verzeichnis auf dem Webserver und seien nur einmal heruntergeladen worden.
Aus technischer Sicht handelt es sich um einen typischen Bruch der Operational Security (OPSEC): Temporare Backups und kryptografische Schluessel wurden im Webroot abgelegt und waren so ueber HTTP erreichbar. Solche Dateien werden regelmaessig von automatisierten Scannern, Suchmaschinen und Angreifern gefunden – vergleichbar mit falsch konfigurierten Cloud-Speichern oder oeffentlich erreichbaren Datenbank-Backups, die immer wieder zu grossen Datenlecks fuehren.
Risiken fuer Nutzer und Chancen fuer Threat Intelligence
Fuer die Nutzer von BreachForums erhoeht das Datenleck das Risiko der Deanonymisierung deutlich. Oeffentliche IP-Adressen, verwendete E-Mail-Adressen und Zeitstempel von Registrierungen erlauben Rueckschluesse auf Aufenthaltsorte, Aktivitaetsmuster und moegliche Ueberschneidungen mit anderen geleakten Datensaetzen. In der Praxis nutzen viele Forenteilnehmer dieselben Pseudonyme, Passwoerter oder Mailboxen ueber verschiedene Plattformen hinweg – ein Verhalten, das auch laut Analysen wie dem Verizon Data Breach Investigations Report im Allgemeinen weit verbreitet ist und die Identifizierung massiv erleichtert.
Die Empfehlung des Admins, kuenftig konsequent Einweg-E-Mails zu verwenden, adressiert nur einen Teil des Problems. Ohne strikte Trennung von Identitaeten, konsequente Nutzung von Anonymisierungsdiensten und eindeutigen, nicht wiederverwendeten Zugangsdaten bleiben Nutzer angreifbar. Gleichzeitig sind viele der im Dump enthaltenen Informationen laengerfristig nutzbar: selbst wenn IP-Adressen dynamisch sind, koennen sie als Indikatoren fuer weitergehende Ermittlungen dienen.
Fuer Unternehmen, Incident-Response-Teams und Threat-Intelligence-Anbieter sind solche Leaks dagegen eine wertvolle Datenquelle. Die Datensaetze ermoeglichen es, Cybercrime-Gruppierungen ueber verschiedene Foren und Marktplatze hinweg zu verfolgen, Alias-Beziehungen herzustellen und betroffene Unternehmenskonten fruehzeitig zu erkennen. Sicherheitsverantwortliche koennen bekannte Benutzer- oder E-Mail-Namen mit internen Logdaten abgleichen, Credential-Stuffing-Angriffe erkennen und betroffene Accounts gezielt absichern.
Das BreachForums-Datenleck fuehrt vor Augen, dass die Infrastruktur von Cyberkriminellen mindestens so verwundbar ist wie die Systeme ihrer Opfer. Takedowns, Domain-Beschlagnahmungen, beschlagnahmte Backups und wiederkehrende Datenlecks kratzen deutlich am Mythos der vollstaendigen Anonymitaet im Cybercrime. Organisationen sollten diese Entwicklung aktiv nutzen: durch kontinuierliches Monitoring von Underground-Foren, strenge Richtlinien fuer Schluessel- und Backup-Management sowie fruehzeitige Reaktion auf erkannte Kompromittierungen. Nutzer profitieren von konsequenter digitaler Hygiene – eindeutigen Passwoertern, Multi-Faktor-Authentifizierung und einer klaren Trennung ihrer Online-Identitaeten – ganz gleich, ob sie legitime Dienste oder risikobehaftete Plattformen verwenden.
