Последното превъплъщение на печално известния хакерски форум BreachForums беше компрометирано, след като потребителската му база данни изтече онлайн. На пръв поглед – поредният „инцидент“ в екосистема, свикнала с хаоса. В действителност – сериозен OPSEC провал, който може да има дългосрочни последици за хиляди участници в подземния киберсвят.
BreachForums от години служи като пазар за:
-
продажба и публикуване на откраднати бази данни,
-
търговия с достъп до корпоративни мрежи,
-
услуги за изнудване и ransomware операции.
Иронията този път е очевидна – форумът, който монетизира чужди пробиви, сам стана жертва на изтичане на данни.
Какво точно изтече
В публичното пространство се появи архив breachedforum.7z, разпространен от сайт с име, свързано с групата ShinyHunters. Архивът съдържа три файла, като най-критичният е:
-
databoose.sql – MyBB таблица с 323 988 потребителски записа.
В нея присъстват:
-
потребителски имена,
-
дати на регистрация,
-
IP адреси,
-
вътрешна системна информация.
Макар значителна част от IP адресите да сочат към локален loopback адрес (127.0.0.9), над 70 000 записа съдържат реални публични IP адреси – информация, която е безценна за:
-
правоприлагащи органи,
-
разузнавателни структури,
-
частни киберразследващи фирми.
PGP ключът – последният пирон в ковчега
Още по-тревожен детайл е изтичането на частния PGP ключ, използван от администраторите на BreachForums за подписване на „официални съобщения“.
Първоначално се твърдеше, че ключът е защитен с парола и следователно безполезен. Това се промени рязко, след като:
-
паролата към PGP ключа беше публикувана,
-
независим изследовател потвърди, че тя е валидна.
Това означава едно – всяко бъдещо „официално съобщение“ от BreachForums може да бъде фалшифицирано.
В подземните среди, където доверието е крехко и се гради на криптографски подписи, това е катастрофален удар по легитимността на платформата.
Обяснението на администратора: твърде малко, твърде късно
Администраторът с псевдоним „N/A“ призна за инцидента, но се опита да го омаловажи:
-
данните били „стари“ (от август 2025),
-
били временно оставени в незащитена директория,
-
папката била изтеглена „само веднъж“.
Този аргумент обаче не издържа на критика.
В киберсигурността няма „само веднъж“.
Има:
-
или контрол,
-
или липса на такъв.
А оставянето на пълна потребителска база и частен PGP ключ в незащитена директория е елементарна грешка – особено за платформа, която претендира за „елитна“ OPSEC култура.
Honeypot ли е BreachForums?
Инцидентът отново разпали подозренията, че BreachForums функционира като honeypot за правоприлагащи органи:
-
последната регистрация в базата е от 11 август 2025 – същия ден, в който предишният домейн breachforums[.]hn беше затворен,
-
домейнът по-късно беше официално иззет от властите,
-
още тогава членове на ShinyHunters публично твърдяха, че форумът е капан.
Администраторите отрекоха. Фактите обаче продължават да се трупат.
Защо този пробив е по-опасен от обикновен leak
Това изтичане не е просто „доксване“ на форум:
-
то свързва никове с IP адреси,
-
позволява корелация с други пробиви,
-
отваря възможност за ретроактивни разследвания,
-
компрометира години OPSEC усилия.
За някои потребители това може да означава:
-
бъдещи арести,
-
отказ от сделки,
-
загуба на доверие в подземната икономика.
Големият урок – киберпрестъпниците не са имунизирани
Случаят с BreachForums показва нещо фундаментално:
-
киберпрестъпниците често са добри в атаките,
-
но лоши в собствената си защита.
Същите грешки, които експлоатират при жертвите си – лоша сегментация, незащитени бекъпи, човешка небрежност – ги застигат със същата сила.
BreachForums оцелява от години чрез ребрандиране, нови домейни и нови администратори.
Но доверие, веднъж компрометирано на криптографско ниво, трудно се възстановява.
Този пробив не просто изтича данни.
Той подкопава самата идея, че BreachForums е „сигурно убежище“ за киберпрестъпния елит.
А за правоприлагащите органи – това може да се окаже златна мина със закъснител.
e-security.bg
