本周,臭名昭著的黑客论坛BreachForums遭遇“黑吃黑”,其最新版本再次遭遇数据泄露,用户数据库表被神秘黑客泄露至网络。
BreachForums是一系列黑客论坛的统称,主要用于交易、出售和泄露被盗数据,以及贩卖企业网络访问权限和其他非法网络犯罪服务。该网站是在其前身RaidForums被执法部门查封、创始人Omnipotent被捕后应运而生的。
尽管BreachForums过去曾多次遭遇数据泄露和警方打击,但它总能更换新域名卷土重来,甚至有传言称该平台现已沦为执法部门的诱捕陷阱。
近日,一个以ShinyHunters勒索团伙命名的网站发布了一个名为breachedforum.7z的7Zip压缩包。
该压缩包包含三个文件:
·shinyhunte.rs-the-story-of-james.txt
·databoose.sql
·breachedforum-pgp-key.txt.asc
ShinyHunters 勒索团伙的一名代表表示,他们与发布该压缩包的网站并无关联。 压缩包中的breachedforum-pgp-key.txt.asc文件是BreachForums管理员用于签署官方消息的PGP私钥,该密钥创建于2023年7月25日。虽然密钥已泄露,但它受密码短语保护,若无密码则无法被滥用于签署消息。
带有密码保护的BreachForums PGP私人密钥
databoose.sql文件是一个 MyBB 用户数据库表(mybb_users),包含323,988条会员记录,涵盖会员显示名、注册日期、IP地址及其他内部信息。
分析显示,大多数IP地址均指向本地回环地址(0x7F000009/127.0.0.9),因此价值不大。
然而,其中70,296条记录并未使用127.0.0.9 IP 地址,且经测试,这些记录映射至真实的公网IP。对于相关用户而言,这些公网IP可能构成操作安全(OPSEC)隐患,同时也对执法部门和网络安全研究人员具有重要价值。
新泄露用户数据库中的最后注册日期为2025年8月11日,这与此前位于breachforums[.]hn的BreachForums站点关闭的日期一致。该次关闭发生在其部分涉嫌运营者被捕之后。
当天,ShinyHunters 勒索团伙的一名成员在Scattered Lapsus$ Hunters Telegram频道发帖,声称该论坛是执法部门的蜜罐。随后,BreachForums管理员否认了这些指控。
breachforums[.]hn域名后来被ShinyHunters勒索团伙用于敲诈受大规模Salesforce数据盗窃攻击影响的企业,最终于2025年10月被查封。
目前的BreachForums管理员(代号N/A)已承认此次新泄露事件,称MyBB用户数据库表的备份曾暂时暴露在一个不安全的文件夹中,且仅被下载过一次。
N/A表示,这并非近期发生的事件。相关数据源自2025年8月的一次旧用户表泄露,当时正值BreachForums从.hn 域名进行恢复/重建期间。在恢复过程中,用户表和论坛PGP密钥曾在一个不安全的文件夹中临时存储了很短一段时间。调查显示,该文件夹在那段时间内确实仅被下载过一次。
虽然管理员表示BreachForums成员应使用一次性电子邮件地址以降低风险,且大多数IP地址均映射至本地IP,但该数据库仍包含可能令执法部门感兴趣的信息。
目前,该网站现已更新了 BreachForum PGP 私钥的密码。且有安全研究人员证实,密码确实是该密钥的正确密码。
参考及来源:https://www.bleepingcomputer.com/news/security/breachforums-hacking-forum-database-leaked-exposing-324-000-accounts/
热门跟贴