Федеральне бюро розслідувань США офіційно оголосило про конфіскацію домену Breachforums[.]hn — чергової інкарнації відомого хакерського форуму, що у 2025 році став майданчиком для публікації «зливів» і шантажу компаній. Домен було переключено на DNS-сервери ns1.fbi.seized.gov та ns2.fbi.seized.gov, а на головній сторінці розміщено банер про захоплення інфраструктури.
Операція ФБР: DNS-перемикання та міжнародна взаємодія
За заявою ФБР, операція проводилася у співпраці з правоохоронними органами Франції та стартувала ще до активної публікації матеріалів, пов’язаних із витоками екосистеми Salesforce. Напередодні домен став недоступним, а Tor-дзеркало короткочасно відключалося й згодом відновило роботу. Перемикання домену на інфраструктуру, яку раніше асоціювали з вилученнями ФБР, стало раннім індикатором майбутньої конфіскації.
Ймовірний доступ до бекапів БД: ризики для користувачів та ескроу
Як повідомляє BleepingComputer, учасники пов’язаних угруповань заявляють, що правоохоронці отримали доступ до архівів баз даних попередніх версій BreachForums, зокрема бекапів з 2023 року, а також до «ескроу»-баз, створених після останнього перезапуску. Якщо ці твердження точні, наслідки можуть торкнутися не лише операторів, а й покупців і продавців, які розраховували на анонімність. Ескроу на кримінальних форумах — це сервіс безпечних угод, де зберігаються деталі транзакцій; їх розкриття підвищує ймовірність деанонімізації користувачів та ретроспективного розслідування схем.
Позиція Scattered Lapsus$ Hunters: «ера форумів завершується»
Група, що називає себе Scattered Lapsus$ Hunters (об’єднання фігурантів Scattered Spider, LAPSUS$ і ShinyHunters), у Telegram заявила, що конфіскація була неминучою. Повідомлення підписане PGP-ключем, який, за даними журналістів BleepingComputer, підтверджено як автентичний. Хакери стверджують, що бекенд-сервери вилучені, перезапуску BreachForums не буде, а будь-які подібні форуми слід розглядати як потенційні «ханіпоти» під контролем правоохоронців.
Шантаж через витоки Salesforce: масштаби загроз
Попри вилучення домену, зловмисники заявляють, що вимагальна кампанія, пов’язана із Salesforce, триває. Серед згаданих організацій — FedEx, Disney і Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France і KLM, TransUnion, HBO Max, UPS, Chanel, IKEA та інші. За їхніми словами, у заручниках до 1 млрд записів із персональними даними, а вимога до Salesforce передбачає виплату за недопущення публікації повної бази.
Чому атаки на SaaS працюють: ланцюги постачання даних і OAuth
Таргетування популярних SaaS-платформ і постачальницькі ланцюги створюють значний «важіль впливу» на бізнес. Навіть часткова компрометація метаданих клієнтських записів підсилює фішинг, викрадення сесій, зловживання OAuth-токенами і ескалацію доступу через інтегровані додатки. Міжнародні операції 2022–2023 років проти тіньових ринків показали тренд на проактивні, багатосторонні тактики правоохоронців, однак загрози мігрують у приватні канали та федеративні месенджери, ускладнюючи виявлення.
Що робити компаніям: пріоритетні кроки захисту Salesforce і SaaS
Негайні дії: відкликати підозрілі OAuth-токени та Connected Apps; примусово ротувати паролі й секрети інтеграцій; увімкнути MFA/SSO для привілейованих ролей; обмежити адміністрування через IP-allowlist; активувати Shield Event Monitoring (або аналоги) для телеметрії входів і API-викликів; провести аудит політик DLP і механізмів експорту даних.
Середньострокові заходи: налаштувати детектування аномалій (масові SOQL-запити, стрибки обсягів API, нетипові географії); застосувати принцип найменших привілеїв для інтеграцій; провести tabletop-навчання з витоків PII; заздалегідь узгодити залучення постачальників IR і юридичний супровід; перевірити плани повідомлення регуляторів і клієнтів.
Поки правоохоронці посилюють тиск на інфраструктуру кіберзлочинців, бізнесу варто виходити з припущення «компрометація можлива». Мінімізуйте експозицію даних у SaaS, підвищуйте якість моніторингу та готовність до інцидентів. Перегляньте доступи інтеграцій, перевірте журнали подій і API за останні 30 днів, оновіть план реагування на інциденти та протестуйте процеси повідомлення зацікавлених сторін. Своєчасні дії сьогодні зменшать ризик завтра — як для Salesforce-екосистеми, так і для всієї ІТ-інфраструктури.
