Підпільний хакерський форум BreachForums, відомий торгівлею вкраденими базами даних, сам став жертвою масштабного витоку. Відкритий доступ отримали SQL-дамп бази користувачів та приватний PGP-ключ адміністрації, що суттєво підвищує ризики деанонімізації учасників і створює додаткові можливості для правоохоронних органів.
BreachForums: еволюція від RaidForums до нових закриттів
Нішу форумів для публікації та монетизації витоків тривалий час займав ресурс RaidForums, де активно обмінювалися злитими базами даних. У 2022 році його інфраструктуру було демонтовано в межах операції ФБР. На її уламках під псевдонімом Pompompurin з’явився новий майданчик — BreachForums (Breached).
BreachForums швидко перетворився на один із ключових хабів для торгівлі компрометованими даними. Серед резонансних кейсів — витік інформації сервісу медичного обслуговування Конгресу США DC Health Link та дані мільйонів користувачів Twitter. У березні 2023 року ФБР заарештувало власника форуму Конора Браяна Фітцпатрика (Pompompurin), після чого ресурс був закритий, але згодом відродився у нових ітераціях.
У 2024 році з’явилася версія BreachForums v2, пов’язана з угрупованням ShinyHunters та користувачами під псевдонімами Baphomet і IntelBroker. У квітні 2025 року цей форум було відключено після ймовірної компрометації через 0-day уразливість у рушії MyBB. Восени 2025 року ФБР вилучило домен breachforums[.]hn, а, за твердженнями самих кіберзлочинців, правоохоронці отримали резервні копії бази даних.
Новий витік BreachForums: архів breachedforum.7z та структура даних
9 січня 2026 року на сайті, що використовує бренд ShinyHunters, був опублікований архів breachedforum.7z. Усередині містилися три файли: текст з історією користувача «Джеймс», SQL-дамп бази BreachForums та файл із PGP-ключем адміністрації. Представник ShinyHunters публічно заперечив причетність групи до цього ресурсу, що ілюструє фрагментованість і недовіру всередині кримінального середовища.
Скомпрометований PGP-ключ адміністрації BreachForums
PGP-файл містить приватний ключ, згенерований 25 липня 2023 року, який використовувався для підпису офіційних повідомлень адмінкоманди BreachForums. Спочатку ключ був захищений паролем, тож без кодової фрази зловмисники не могли б підробляти повідомлення.
Фахівці компанії Resecurity повідомили, що на тому ж сайті згодом з’явився й пароль до приватного PGP-ключа. Після перевірки вони підтвердили його дійсність. Таким чином ключ повністю скомпрометовано: це підриває довіру до історичних PGP-підписів від імені BreachForums і відкриває шлях до фішингових атак, дезінформації та соціальної інженерії у колі кіберзлочинців.
SQL-дамп MyBB: майже 324 тисячі акаунтів та IP-адреси
Найбільший інтерес для аналітиків становить SQL-дамп таблиці користувачів MyBB, що містить 323 988 записів. Для кожного акаунта доступні нікнейм, дата реєстрації, IP-адреса та технічні параметри.
Більшість записів містять IP-адресу 127.0.0.9 — модифікований локальний loopback, який не розкриває реальне розташування користувача. Водночас у 70 296 записах фігурують публічні IP-адреси. Такі дані є цінними для деанонімізації: їх можна корелювати з іншими витоками, логами провайдерів, часовими мітками входів і профілями з інших форумів.
Остання дата реєстрації в дампі — 11 серпня 2025 року, того ж дня було закрито інстанс BreachForums на домені breachforums[.]hn після арешту ймовірних операторів. Це підтверджує зв’язок витіклої бази з подіями кінця літа 2025 року.
Позиція адміністрації BreachForums і помилки операційної безпеки
Поточний адміністратор форуму під ніком N/A визнав факт витоку, але стверджує, що йдеться про «стару» компрометацію під час відновлення інфраструктури після втрати домену .hn в серпні 2025 року.
За його словами, резервна копія таблиці користувачів і PGP-ключ тимчасово опинилися в незахищеній директорії вебсервера: «Під час відновлення таблиця користувачів та PGP-ключ деякий час зберігалися в незахищеній папці. Наше розслідування показало, що її завантажили лише один раз». Адміністратор також наголошує, що значна частина IP-адрес у базі — локальні.
З погляду безпеки це типовий приклад порушення операційної безпеки (OpSec): тимчасові резервні копії та ключі шифрування опиняються доступними через веб, індексуються сканерами й можуть бути виявлені як автоматизованими ботами, так і цілеспрямованими дослідниками.
Наслідки витоку: деанонімізація, threat intelligence та практичні уроки
Витік бази даних BreachForums наочно показує, що інфраструктура кіберзлочинців не менш вразлива, ніж системи їхніх жертв. Публічні IP-адреси, email-адреси, часові мітки та повторне використання нікнеймів створюють основу для поступової деанонімізації окремих учасників і цілих груп.
Попри рекомендації адміністратора N/A використовувати одноразові поштові скриньки, на практиці багато користувачів підпільних форумів повторно застосовують ті самі логіни, паролі та адреси електронної пошти. Це значно полегшує роботу фахівців з digital forensics, threat intelligence та правоохоронців, які зіставляють дані з різних витоків і будують зв’язки між інцидентами.
Для легального сектору подібні SQL-дампи — цінне джерело threat intelligence. Вони дозволяють відстежувати еволюцію хакерських угруповань, ідентифікувати перетини з відомими атаками на організації, а також проактивно моніторити появу корпоративних доменів або службових адрес у підпільних екосистемах.
Ця історія з BreachForums підкреслює потребу у посиленні процесів керування ключами шифрування, резервним копіюванням і доступом до службових директорій у будь-яких ІТ-системах. Організаціям варто активніше використовувати дані з даркнет-форумів для моніторингу можливих компрометацій, а користувачам — дотримуватися базової цифрової гігієни: унікальні паролі, багатофакторна автентифікація, сегрегація робочих та особистих акаунтів. Чим раніше ці практики стануть нормою, тим складніше буде зловмисникам — незалежно від того, по який бік барикад вони перебувають.
