Das FBI hat die Domain Breachforums[.]hn offiziell beschlagnahmt – die jüngste Inkarnation eines bekannten Cybercrime-Forums, das 2025 unter anderem zur Veröffentlichung gestohlener Daten und zur Erpressung genutzt wurde. Der eingezogene Domainname wurde auf ns1.fbi.seized.gov und ns2.fbi.seized.gov umgestellt, begleitet von einem Seizure-Banner. Auf der Plattform war zuvor eine Liste von 39 Organisationen aufgetaucht, die mit Vorfällen rund um die Salesforce-Ökosysteme in Verbindung gebracht wurden.
Operation und Taktik: DNS-Umschaltung, Tor-Unterbrechungen und internationale Zusammenarbeit
Laut Behördenangaben erfolgte die Maßnahme in Kooperation mit französischen Ermittlern und begann, bevor Salesforce-bezogene Inhalte in größerem Umfang veröffentlicht wurden. Vor der Beschlagnahme war die Hauptdomain bereits nicht erreichbar; ein Tor-Spiegel war zwischenzeitlich offline und später wieder verfügbar. Die Umstellung auf fbi.seized.gov-Nameserver gilt in der Szene als verlässlicher Indikator für eine bevorstehende Domain-Seizure und wurde auch bei früheren internationalen Infrastrukturabschaltungen genutzt.
Berichte über kompromittierte Backups und Escrow-Datenbanken: erhöhte Deanonymisierungsrisiken
Nach Informationen von BleepingComputer behaupten involvierte Akteure, Strafverfolger hätten Zugriff auf Archivkopien älterer Foren-Datenbanken erhalten – darunter Backups aus 2023 sowie Escrow-Daten seit dem letzten Neustart. Sollte dies zutreffen, sind nicht nur Betreiber betroffen: Auch Käufer und Verkäufer, die auf Pseudonymität setzten, könnten rückwirkend identifizierbar werden. Escrow-Systeme verwalten Transaktionsdetails für „sichere“ Deals; deren Offenlegung erleichtert die Korrelation von Nutzerkonten, Zahlungsströmen und Kommunikationsmustern.
„Keine Rückkehr des Forums“: Aussagen der Scattered Lapsus$ Hunters
Eine Gruppierung unter dem Namen Scattered Lapsus$ Hunters erklärte auf Telegram, die Backend-Server seien beschlagnahmt worden und ein erneuter Start von BreachForums werde nicht erfolgen. Das Statement wurde mit einem PGP-Schlüssel signiert, der laut BleepingComputer als authentisch gilt. Zudem warnen die Akteure, künftige Klon-Foren seien mit hoher Wahrscheinlichkeit Honeypots unter Kontrolle von Behörden – ein Szenario, das bereits in der Vergangenheit nach Abschaltungen krimineller Marktplätze beobachtet wurde.
Salesforce-Bezug und Erpressung: Umfang und potenzielle Auswirkungen
Trotz Domain-Seizure erklärten die Täter, die Erpressungskampagne gegen Salesforce und betroffene Unternehmen laufe weiter. Genannt werden Marken wie FedEx, Disney, Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France, KLM, TransUnion, HBO Max, UPS, Chanel und IKEA. Demnach sollen bis zu 1 Milliarde Datensätze mit personenbezogenen Informationen als „Druckmittel“ dienen; gefordert werde eine Zahlung zur Verhinderung der vollständigen Veröffentlichung.
Warum SaaS-Zielangriffe funktionieren: Ketteneffekte und OAuth-Missbrauch
Die Fokussierung auf populäre SaaS-Plattformen wie Salesforce verstärkt die Hebelwirkung über Lieferketten und Integrationen. Bereits die Offenlegung von Kundendaten-Metadaten kann Phishing, Session-Hijacking oder den Missbrauch von OAuth-Token nach sich ziehen. Branchenberichte wie der Verizon DBIR zeigen seit Jahren, dass Zwischenfälle über Dritte und Partner eine erhebliche Rolle spielen; zugleich nehmen API-basierte Angriffe zu, weil sie vertrauensbasierte Verbindungen und automatisierte Workflows ausnutzen. In der Praxis führt dies häufig zu lateralen Bewegungen über verbundene Apps, erhöhte API-Volumina und massenhafte SOQL-Abfragen.
Empfehlungen: Prioritäten für Salesforce- und SaaS-Härtung
Sofortmaßnahmen: Verdächtige OAuth-Token und Connected Apps widerrufen; Passwörter sowie Integrationsgeheimnisse rotieren; Admin-Zugriffe per IP-Allowlisting einschränken; MFA/SSO für privilegierte Rollen erzwingen; Shield Event Monitoring (oder Äquivalente) für Logins und API-Aktivität aktivieren; DLP- und Export-Policies überprüfen.
Mittelfristig: Erkennungen für Anomalien etablieren (z. B. ungewöhnliche Geo-Standorte, sprunghafte API-Last, breite SOQL-Exporte); Integrationen strikt nach Least Privilege segmentieren; Tabletop-Übungen zu PII-Leaks durchführen; Vereinbarungen mit Incident-Response- und Rechtsdienstleistern erneuern; Prozesse zur Meldung an Aufsichtsbehörden und Kunden vorab klären und testen.
Auch wenn Behörden den öffentlichen Teil der Cybercrime-Infrastruktur zunehmend erfolgreich stören, verlagern sich Aktivitäten in private Kanäle und föderierte Messenger. Unternehmen sollten daher mit dem Prinzip „Assume Compromise“ arbeiten: Dateneinblicke in SaaS minimieren, Monitoring und Notfallreaktion professionalisieren und Integrationen kontinuierlich härten. Wer heute Spurenlage, Telemetrie und Zugriffsrechte im Griff hat, reduziert Angriffsfläche und Erpressbarkeit messbar – und verkürzt die Zeit bis zur Eindämmung erheblich.
