Очередная версия хакерского форума BreachForums пострадала от утечки данных — в публичный доступ выложили БД с информацией о пользователях ресурса.
Под названием BreachForums работало несколько сайтов, и все они были посвящены покупке, продаже и «сливу» ворованных данных.
Первым «форумом для утечек» был RaidForums. Однако после того как ФБР закрыло его в 2022 году, некто Pompompurin запустил собственный ресурс под названием BreachForums (или просто Breached).
Этот форум быстро завоевал популярность в хакерской среде, и преступники публиковали на сайте огромные объемы украденных данных. К примеру, включая информацию поставщика медицинских услуг Конгресса США DC Health Link, данные миллионов пользователей Twitter и так далее.
Вскоре после публикации данных DC Health Link, в марте 2023 года ФБР арестовало владельца форума Конора Брайана Фитцпатрика (Pompompurin) и BreachForums закрылся. Отметим, что Фитцпатрик признал себя виновным по нескольким пунктам обвинения, в январе 2024 года его приговорили к 20 годам под надзором, однако осенью 2025 года приговор был изменен на три года лишения свободы.
Однако после ареста Pompompurin появились новые версии ресурса, которые в итоге тоже были захвачены правоохранительными органами.
Еще одна инкарнация сайта — BreachForums v2 была запущена в 2024 году под руководством ShinyHunters, Baphomet и, позднее, IntelBroker (отошел от управления сайтом в январе 2025 года).
Эта версия сайта отключилась в апреле 2025 года после того, как BreachForums, предположительно, был взломан через 0-day уязвимость в MyBB. После этого форум так и не вернулся в сеть.
В октябре 2025 года ФБР изъяло очередной домен BreachForums (Breachforums[.]hn), который хакеры использовали для «слива» данных, перечислив на нем 39 организаций, пострадавших от утечек данных, связанных с Salesforce. Как заявляли сами злоумышленники, правоохранители не только закрыли сайт, но и завладели бэкапами БД хак-форума.
Невзирая на регулярные утечки данных и действия полиции, BreachForums упорно возрождается на новых доменах. При этом многие подозревают, что с некоторых пор сайт стал ловушкой для киберпреступников, организованной спецслужбами.
Как сообщает издание Bleeping Computer, 9 января 2026 года на сайте, названном в честь вымогательской группировки ShinyHunters, появился архив breachedforum.7z. Внутри оказались три файла: история некоего Джеймса в текстовом документе (вероятно, это один из бывших участников ShinyHunters), SQL-дамп базы данных и PGP-ключ администрации форума.
Стоит отметить, что представитель ShinyHunters заявил изданию, что группа не имеет никакого отношения к этому ресурсу.
Файл с PGP-ключом содержит приватный ключ, созданный 25 июля 2023 года. Его использовали для подписи официальных сообщений от администраторов BreachForums. Ключ утек, но защищен паролем — без кодовой фразы злоумышленники не смогут подписывать сообщения от имени администрации.
Как заметили в ИБ-компании Resecurity, позже на сайте был выложен пароль к приватному PGP-ключу, и другие исследователи подтвердили, что пароль подлинный.
SQL-файл содержит таблицу пользователей из MyBB с 323 988 записями. Для каждой записи доступна информация о никнейме, дате регистрации, IP-адресе и прочие служебные данные.
Анализ показал, что большинство IP-адресов указывают на локальный loopback (127.0.0.9), поэтому не представляют практической ценности. Однако 70 296 записей содержат реальные публичные адреса. Это может стать проблемой для пользователей форума, ведь такие данные могут заинтересовать как правоохранительные органы, так и ИБ-исследователей.
Последняя дата регистрации в утекшей БД — 11 августа 2025 года. В этот же день версия форума на домене breachforums[.]hn закрылась после ареста нескольких предполагаемых операторов сайта.
Нынешний администратор BreachForums под ником N/A подтвердил утечку. По его словам, резервная копия таблицы пользователей временно оказалась в незащищенной директории и была скачана оттуда всего один раз.
«Мы хотим прояснить ситуацию с предполагаемой утечкой базы данных. Прежде всего, это не недавний инцидент. Данные относятся к старой утечке таблицы пользователей от августа 2025 года, когда BreachForums восстанавливали после закрытия домена .hn, — пишет администратор ресурса. — Во время восстановления таблица пользователей и PGP-ключ форума короткое время хранились в незащищенной папке. Наше расследование показало, что папку скачали только один раз».
В своем сообщении N/A посоветовал пользователям полагаться на одноразовые email-адреса для снижения рисков, а также отметил, что большинство IP-адресов в таблице все же указывали на локальные адреса.
