И снова здравствуйте
Хакерский ресурс BreachForums подвергся очередному взлому, в результате которого утекла база примерно 324 тысяч участников этой площадки.
Архив базы данных оказался на сайте, названном в честь вымогательской группировки ShinyHunters, которые, впрочем, незамедлительно заявили изданию Bleeping Computer, что на самом деле этот сайт не имеет к ним никакого отношения.
Архив содержал три файла: shinyhunte.rs-the-story-of-james.txt, databoose.sql, breachedforum-pgp-key.txt.asc.
Третий файл представляет собой приватный ключ PGP, созданный 25 июля 2023 года. Им подписываются официальные сообщения от администраторов. Хотя сам ключ оказался «слит», он дополнительно защищён кодовой фразой, без которой его использование невозможно. К сожалению, вскоре и эта фраза оказалась в архиве - по-видимому, в первом файле из списка. Независимые исследователи подтвердили её валидность.
Файл databoose.sql содержит таблицу пользователей MyBB с информацией о 323 988 зарегистрированных участников, с именами, датами регистрации, IP-адресами и т.д.
Проанализировав файл, эксперты BleepingComputer выяснили, что большинство IP-адресов ведут на 0x7F000009/127.0.0.9 - внутренний loopback-адрес, так что они бесполезны.
Однако чуть более 70 тысяч IP-адресов являются публичными, и они явно будут представлять интерес для исследователей - и правоохранительных органов.
Август-октябрь-январь
Самая свежая дата регистрации - 11 августа 2025 г. Именно в этот день была закрыта предыдущая итерация BreachForums - breachforums[.]hn. Предполагаемые операторы площадки были арестованы.
В тот же день представители вымогательской группировки ShinyHunters опубликовали в TG-канале Scattered Lapsus$ Hunters утверждение, что BreachForums - это ловушка под контролем правоохранительных органов.
Так это или нет, вопрос открытый. BreachForums являются наследниками площадки RaidForums, захваченной киберполицией США при участии Европола. В ходе соответствующей операции владелец RaidForums, известный как Omnipotent (в миру - Диого Сантуш Коэльо), был арестован.
BreachForums скоро заняли место RaidForums. Новая площадка также несколько раз подвергалась взломам и её домены перехватывали агенты ФБР. Тем не менее, BreachForums каждый раз перезапускались заново.
Что и стало поводом обвинять нынешних операторов площадки в сговоре с правоохранителями. Администраторы BreachForums ожидаемым образом это отрицают.
25 октября 2025 года домен breachforums[.]hn был конфискован правоохранителями после того, как кто-то начал использовать его для вымогательства. Жертвами становились компании, пострадавшие от атак на базы Salesforce (эти атаки проводили как раз ShinyHunters).
Нынешний администратор BreachForums, известный как N/A, признал утечку. По его словам, в ходе восстановления данных с домена .hn утекшие базы были временно размещены в незащищённом каталоге, откуда и были скачаны третьей стороной.
«Утечки с BreachForums стали как-то слишком регулярными для того, чтобы его пользователи могли чувствовать себя в безопасности, - указывает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Но едва ли это повод им сочувствовать, по крайней мере, тем, кто действительно вовлечён в киберкриминальную деятельность».
Эксперт добавил, что даже если площадка растеряет свою аудиторию, её место быстро займёт какая-то другая.
Поделиться
