Взлом BreachForums: киберпреступники сами стали жертвами утечки данных
Киберпреступный форум BreachForums, известный торговлей украденными данными, сам стал жертвой масштабной утечки. В открытый доступ попали логины, IP-адреса и даты регистрации сотен тысяч его участников. Исследователи связывают инцидент с ошибкой в конфигурации или уязвимостью CMS. Администрация форума подтвердила факт взлома, заявив, что данные ненадолго попали в незащищенную папку при восстановлении домена.
Взломан даркнет-форум BreachForums, используемый киберпреступниками для общения и продажи слитых данных. Результатом взлома стала утечка пользовательских данных — база включает метаданные 323,9 тыс. пользователей. Об этом в своем блоге сообщила ИБ-компания Resecurity.
BreachForums, также известный как Breached, является приемником RaidForums. Форум работал с 2015 года, но в 2022 году домен RaidForums был захвачен и заблокирован ФБР США. После этого форум неоднократно перезапускался под новыми доменами. Это не первая утечка для BreachForums — в июле 2024 года оказались скомпрометированы личные данные 212,4 тысяч участников одной из итераций форума.
Как полагают исследователи Resecurity, база данных могла оказаться в открытом доступе из-за уязвимости веб-приложения в системе управления контентом (CMS) или возможной ошибки в конфигурациях. В компании подчеркивают, что этот инцидент доказывает, что данные могут утечь не только у легитимных компаний, но и у цифровых злоумышленников, «что может иметь гораздо более значительный положительный эффект».
Архив со слитыми данными опубликован на сайте ShinyHunters — такое же имя носит одна из хакерских группировок. Однако, как заявили в комментарии BleepingComputer представители группировки, они не имеют отношения к этому сайту.
Как уточняет BleepingComputer, слитый архив представляет собой базу данных пользователей MyBB, содержащую записи о пользователях — их никнеймы, даты регистрации, IP-адреса и другую информацию. Анализ показал, что большинство IP-адресов соответствуют локальному IP-адресу (0x7F000009/127.0.0.9). Однако 70,2 тыс. записей содержат иные адреса и соответствуют общедоступным адресам.
Анализ IP-адресов специалистами Resecurity показал, что большинство злоумышленников пользовались сайтом с адресов США, Германии, Нидерланд, Франции, Турции и Великобритании. В компании подчеркнули, что эту информацию нельзя считать исчерпывающей: злоумышленники могли пользоваться VPN и прокси-серверами.
Последняя дата регистрации пользователя, согласно базе, приходится на 11 августа 2025 года — в этот день была закрыта предыдущая итерация BreachForums. Этому предшествовало задержание нескольких предполагаемых операторов форума.
Представитель BreachForums признал взлом. Из заявления следует, что утечка произошла во время восстановления ранее закрытого домена.
«В процессе восстановления таблица пользователей и PGP-ключ форума на очень короткое время были размещены в незащищенной папке. Наше расследование показывает, что в течение этого промежутка времени папка была скачана всего один раз», — следует из заявления администратора BreachForums.
Ранее SecPost писал, что Instagram* (принадлежит Meta*, признанной в РФ экстремистской организацией) заявил об ошибке, которая позволяла сторонним лицам запрашивать электронные письма для сброса пароля у пользователей. Об этом в компании заявили после появления информации об утечке данных 17,5 млн пользователей.
Читайте также
