RaidForums、BreachForums都是曾经臭名昭著的暗网数据泄露论坛,提供被盗数据发布与交易的平台。近些年,在美国联邦调查局、国际刑警组织、欧洲刑警组织等国际执法机构的努力下,几个暗网数据泄露论坛被打击了多次。
目前仍然还存在且在暗网与明网可以同时访问的暗网数据泄露论坛还剩:两个版本的BreachForums(Indra的BreachForums与Hasan的BreachForums)、BreachForums的最大竞争对手DarkForums,这些论坛除了面临竞争对手的挑战,还得面对在执法机构的查封压力。
近期,执法机构采取密集行动,查封了三个暗网数据泄露论坛的多个域名。随后这些论坛迅速响应,启用了新的明网域名。“暗网下/AWX”整理了这几个论坛的明网域名更迭记录。
Indra的BreachForums的明网域名更迭 2025年12月,在多个版本的BreachForums被执法机构摧毁后,Indra推出了新的BreachForums论坛,明网域名为breachforums[.]bf。
2026年2月4日,breachforums[.]bf域名遭受据称HasanBroker等的社会工程学攻击,被暂停解析,暂停期间,Indra的BreachForums迅速启用了新的明网域名breachforums[.]jp。后Indra设法找回了bf域名,并恢复使用了bf域名,随即jp域名被放弃使用。
2026年2月,安全研究人员多次研究出breachforums[.]bf的真实IP,分别为:95.129.233.76、185.129.102.34、31.172.87.150。
2026年2月14日,breachforums[.]bf域名再次被暂停解析,这次疑似是真被执法机构查封,并同时查封了breachforums[.]jp域名。
同日,Indra的BreachForums又一次迅速启用了新明网域名breachforums[.]as,并发布公告称,此次纯属注册商单方面暂停服务,与BreachForums内部运营无关,系统安全状态完好无损。未发生任何安全事件,未出现数据泄露,其基础设施、服务器及数据均未受影响。
Hasan的BreachForums的明网域名更迭 2026年1月,原BreachForums的管理员HasanBroker推出了另一个新的BreachForums,明网域名为breachforums[.]cz。2026年2月12日,有安全研究人员分析出该域名的子域名mail[.]breachforums[.]cz背后的真实IP为176.123.2.86。
2026年2月20日,breachforums[.]cz域名被执法机构查封,虽然依然能打开,但是访问时提示“Page could not be loaded”。在breachforums[.]cz域名被查封后,Hasan的BreachForums启用新明网域名breachforums[.]in为其主域名。
DarkForums的明网域名更迭 2025年,暗网出现一个新的数据泄露论坛DarkForums,成为BreachForums有力的竞争对手。DarkForums使用明网域名darkforums[.]st。
安全研究人员分析出了darkforums[.]st背后的IP:185.178.208.177,185.11.145.145, 185.11.145.254,185.196.9.155,85.208.156.120。
2025年12月,DarkForums启用新的明网域名darkforums[.]io,2026年1月,有安全研究者称该域名背后对应的真实IP有185.208.158.89、185.178.208.154。2026年2月4日,darkforums[.]io域名被执法机构查封,无法访问。
2026年2月4日,darkforums[.]io域名被查封后,DarkForums启用明网域名darkforums[.]me为主域名,该域名是DarkForums之前就持有的备用域名。当时DarkForums的所有者Knox发布带有PGP签名的论坛公告宣布“Official Domains – Old Mirrors Disabled”:
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
All previous domains and mirror links have been permanently disabled by the providers and are no longer active.
Please update your bookmarks. The only official addresses going forward are:
Clearnet: https://darkforums.me
Onion (Tor): http://darkfoxaqhfpxkrbt7vxns2z2u2k72sgmqbzeorupaiottw3ecm2wgyd.onion
We will announce and list any new mirrors here as they are added.
近日,“暗网下/AWX”发现,知名中文成人网站海角社区发生一起大规模数据泄露事件,一名威胁行为者在DarkForums泄露了一个数据库,其中包含大约1570万条用户记录。
发布该数据库的黑客昵称是“Tanaka”,帖子名为“China – haijiao.com 15.7M User DB”。在帖子内,他介绍了数据库信息,贴上了样本数据,并给出了具体的下载地址。根据介绍,数据格式是Json格式,泄露时间是2022年,从样本分析,数据可能是从Elasticsearch导出,包含如下字段:
_id; _index; _score; avatar; cash_count; cert_professor; cert_professor_expire; cert_video; cert_video_expire; certified; certified_expire; comment_count; created_at; deleted_at; description; email; email_verified; famous; famous_weight; fans_count; favorite_user_count; forbidden_end_time; id; last_login_ip; last_login_time; nickname; parent_id; password; pay_password; phone; popularity; role; sex; status; tags; topic_count; updated_at; username; video_status; vip; vip_expires_time; voice_status
从字段看,泄露用户数据包括用户名、电子邮件地址、手机号码、密码(哈希加密)、最后登录IP与时间以及其他与帐户相关的详细信息,例如地点和兴趣。
访问下载地址,提示数据上传时间为2023-08-13 18:49:23,文件名是“15.7M-CN-haijiao.com-Chinese-Porn-Forum-UsersDB-json-2022.zip”,压缩包大小为1.47 GB,未压缩前是14.7 GB。
海角社区是一个中文成人网站,主要涉及成人视频、论坛及相关敏感内容,以泄露各种乱伦,通奸,强奸,偷拍等非自愿色情图片与视频为卖点。截至目前,该社区仍在正常运营,且用户活跃度较高。虽然是前期数据,但是数据量如此之大、免费开放下载使得这起泄露事件十分严重。“暗网下/AWX”提醒,网络犯罪分子可能会针对该数据定向钓鱼或者诈骗,请务必注意防范!
经本站(anwangxia.com)查询,网络上公开信息显示,海角社区在2022年曾发生过大规模用户数据泄露事件。截至目前,未见2025-2026年全新大规模泄露的可靠报道。据报道,2022年7月底,海角社区发生用户数据泄露事件,超过1300万用户数据泄露,泄露数据包括:用户名、手机号、邮箱、密码(MD5哈希)、IP地址等等。泄露原因可能是由于海角社区服务器配置错误或者其他安全漏洞,导致黑客可以直接连接数据库并导出所有用户数据。
“暗网下/AWX”建议海角社区用户:立即修改密码并更换邮箱、立刻检查使用相同密码的其他重要网站、警惕各类诈骗短信以及邮件联系。
近日,“暗网下/AWX”发现,知名中文成人网站海角社区发生一起大规模数据泄露事件,一名威胁行为者在DarkForums泄露了一个数据库,其中包含大约1570万条用户记录。
发布该数据库的黑客昵称是“Tanaka”,帖子名为“China – haijiao.com 15.7M User DB”。在帖子内,他介绍了数据库信息,贴上了样本数据,并给出了具体的下载地址。根据介绍,数据格式是Json格式,泄露时间是2022年,从样本分析,数据可能是从Elasticsearch导出,包含如下字段:
_id; _index; _score; avatar; cash_count; cert_professor; cert_professor_expire; cert_video; cert_video_expire; certified; certified_expire; comment_count; created_at; deleted_at; description; email; email_verified; famous; famous_weight; fans_count; favorite_user_count; forbidden_end_time; id; last_login_ip; last_login_time; nickname; parent_id; password; pay_password; phone; popularity; role; sex; status; tags; topic_count; updated_at; username; video_status; vip; vip_expires_time; voice_status
从字段看,泄露用户数据包括用户名、电子邮件地址、手机号码、密码(哈希加密)、最后登录IP与时间以及其他与帐户相关的详细信息,例如地点和兴趣。
访问下载地址,提示数据上传时间为2023-08-13 18:49:23,文件名是“15.7M-CN-haijiao.com-Chinese-Porn-Forum-UsersDB-json-2022.zip”,压缩包大小为1.47 GB,未压缩前是14.7 GB。
海角社区是一个中文成人网站,主要涉及成人视频、论坛及相关敏感内容,以泄露各种乱伦,通奸,强奸,偷拍等非自愿色情图片与视频为卖点。截至目前,该社区仍在正常运营,且用户活跃度较高。虽然是前期数据,但是数据量如此之大、免费开放下载使得这起泄露事件十分严重。“暗网下/AWX”提醒,网络犯罪分子可能会针对该数据定向钓鱼或者诈骗,请务必注意防范!
经本站(anwangxia.com)查询,网络上公开信息显示,海角社区在2022年曾发生过大规模用户数据泄露事件。截至目前,未见2025-2026年全新大规模泄露的可靠报道。据报道,2022年7月底,海角社区发生用户数据泄露事件,超过1300万用户数据泄露,泄露数据包括:用户名、手机号、邮箱、密码(MD5哈希)、IP地址等等。泄露原因可能是由于海角社区服务器配置错误或者其他安全漏洞,导致黑客可以直接连接数据库并导出所有用户数据。
“暗网下/AWX”建议海角社区用户:立即修改密码并更换邮箱、立刻检查使用相同密码的其他重要网站、警惕各类诈骗短信以及邮件联系。
“暗网下/AWX”曾经介绍,DarkForums是一个与BreachForums类似的暗网被盗数据交易论坛,在暗网与明网均可以访问,声称可以提供任何目标的多种类型数据。据观察,自从BreachForums销声匿迹后,DarkForums发展迅猛,已经拥有将近7.5万用户,逐渐取代BreachForums。
根据DarkForums对自己的宣传,其云端存储拥有来自欧洲、亚洲、非洲、美洲、澳大利亚等六大洲目标对象的各类数据,覆盖65+个国家,这些数据都是顶级品质,包括:
⭐️军事文件数据库 ⭐️企业完整数据库 ⭐️证件扫描件(身份证-驾照-护照) ⭐️消费者信息数据库 ⭐️电话号码数据库 ⭐️电子邮箱数据库 ⭐️外汇与加密货币数据库 ⭐️赌场及游戏数据库 ⭐️号码:密码 & 邮箱 & 用户名:密码 ⭐️公民身份号 & 社会安全号 & 税务号数据库 ⭐️大型网站数据库 ⭐️去哈希化数据及其他大型云端资源 DarkForums表示,其海量数据储备是未遭破坏的原始数据库,极度新鲜且私密,且支持用户自定义请求,有顶级品质保障。其全天候更新档案库,客服24/7全天候在线支持。
根据网站发布的套餐价格,1个月套餐售价200美元,3个月套餐售价为400美元,而终身套餐售价为1000美元,免费神级升级包含在3个月及终身套餐中。
DarkForums设置了三种类型的网站会员等级:VIP会员订阅价格为20欧元/999年,MVP会员订阅价格为40欧元/终身,GOD会员订阅价格为80欧元/终身。
根据公告,DarkForums提供的暗网V3域名为:http://qeei4m7a2tve6ityewnezvcnf647onsqbmdbmlcw4y5pr6uwwfwa35yd[.]onion
除了暗网地址外,该网站同步提供了几个明网镜像地址:
https://df[.]hn
https://df[.]kiwi
https://darkforums[.]st
此外,该网站还拥有域名https://darkforums[.]me,页面显示该域名的所有者为Knox,同时显示了DarkForums的暗网与明网域名,但未作跳转。
根据DarkForums的统计数据,该暗网数据泄露论坛已经拥有超过2.5万的主题帖,近25万的回复帖,近7.5万的注册用户,最多同时在线人数接近2万,可见其人气非常旺,但不知能够坚持几日。
DarkForums称其余自称新BreachForums的论坛都是虚假的 在FBI查封域名BreachForums.hn后,DarkForums发布警告称,虽然互联网上已出现多个冒牌或克隆网站,自称是“新BreachForums”,但它们与原版BreachForums团队毫无关联,都是为了欺骗、钓鱼或窃取用户数据。而DarkForums才是目前该领域唯一活跃且合法的主要社区。
对于本站(anwangxia.com)曾经报道的一个由BreachForums前管理员Koko创建的“新BreachForums”,DarkForums在Telegram频道表示,这个BreachForums克隆站也不是正规站点,Koko是个智障骗子,以过往成就为幌子行骗。他不仅诈骗了克隆论坛所有者SEPTEMBER,更在其自家论坛实施诈骗,如今更冒用SEPTEMBER等名义兜售论坛基础设施行骗。多名社区成员反映购买其论坛时遭遇欺诈,所以请务必警惕并远离这类无赖之徒。
某Telegram频道揭露的DarkForums管理员身份未得到权威证实 近期,有国内公众号号称某Telegram频道揭露了DarkForums管理员(Lucifer、Knox)的真实身份。根据号称”开盒“信息,此人为印度人,真实姓名为”Hritik Kumbhar“,来自印度奥里萨邦(Bhubaneswar, Odisha, India),系NIST大学计算机科学学士,现为初创公司InnovexPlus创始人,具备Linux、Python、网络安全等技术背景。
泄露内容极为详尽,包括”Hritik Kumbhar“的家庭住址(Bolangir, Odisha 767001)、手机号码(+916370174459)、常用设备(三星Z Fold6/7、尼康D7200相机)、学校(NIST University)、Linkedin个人页面(https://in.linkedin.com/in/hritik-kumbhar-980174354)、多个邮箱(如[email protected]、[email protected])及移动网络IP地址(136.233.58.227)等。
据“暗网下/AWX”综合各个权威网络安全威胁情报分析专家对DarkForums的分析,尚未证实”Hritik Kumbhar“是DarkForums管理员Knox,有待进一步的消息。
DarkForums后续如何发展,FBI会不会对其采取执法行动,“暗网下/AWX”将持续关注。
另一个买卖被盗数据的暗网论坛DarkForums存在存储型的XSS漏洞,有组织声称已经渗透了该网站,并在X上发布了消息。
7月27日,@DarkWebInformer在X上发布推文警告称,DarkForums存在活跃的跨站脚本(XSS)漏洞。请勿使用该网站,它不安全且会泄露您的IP地址!并附了一个弹框截图,展示了当前的Cookie。“暗网下/AWX”根据该截图确认暗网论坛DarkForums存在XSS跨站漏洞。
随后,网络安全组织@NullSecurityX进行了回复,称DarkForums被NullSecurityX黑了:)但开玩笑归开玩笑,该推文在随附的视频中展示了Darkforums上发现的漏洞。并称祝大家渗透愉快,同时at了@DarkWebInformer。视频中,@NullSecurityX展示了其发布含有javascript标签的html代码后触发执行,并跳转至其X页面。
对此,BreachForums的新管理员hasan回复称,这不仅仅是DarkForums的问题,而是MyBB软件本身的问题。该软件存在大量CVE漏洞,简直令人难以置信。要真正解决这个问题,唯一的方法就是禁用大多数用户喜爱的功能。
hasan把这个问题归结于该论坛使用的开源PHP程序MyBB的MyCode功能存在的漏洞,他称,看来DarkForums和其他论坛并没有认真考虑他的方法,因为他们大多迅速忽视了安全问题,尤其是使用被称之为MyBB的这个所谓的“地雷阵”软件。
hasan称这无法预防,他看到BreachForums的明网和暗网门户,或者说那个任何人都能看到的蜜罐,也存在相同的问题,而他们当然没有禁用任何功能。
hasan表示,在此之前,我更倾向于效率而非美学。因为“美学”和纯粹的愚蠢,使用MyBB的论坛都没打算修复这个漏洞。因此需要一场呼吁尽快更换MyBB软件的运动,他的新论坛已经准备好进行更改了。
MyBB如何修复这个漏洞?hasan表示应该禁用相关功能,因为MyBB将这些功能硬编码在系统中,尤其是MyCode,即使安装了插件也无法阻止,因为MyBB的设计只允许通过其后台管理控制面板禁用MyCode。
hasan还透露,入侵DarkForums的人正在以200美元的价格出售数据库——这些数据目前在Roblox平台上流通。
NullSecurityX(NullSecX)的介绍 NullSecX自称是一家网络安全公司,根据其自我介绍,在NullSecX,他们助力企业始终走在不断演变的网络威胁环境的前沿。
通过主动识别和分析新兴漏洞与攻击,NullSecX提供及时的洞察和前沿的安全解决方案。NullSecX称自己的使命很简单:帮助您在威胁发生前就预见它们——以便您能够以信心和精准度保护您的数字资产。
NullSecX的LinkedIn在招募更多人加入NullSecX,称可以共同站在网络安全创新的前沿。
NullSecX还拥有一个Youtube页面:https://www.youtube.com/@NullSecurityX
DarkForums是什么网站 DarkForums是一个与BreachForums类似的暗网被盗数据交易论坛,声称可以提供任何目标的多种类型数据,以及来自全球65个国家(涵盖欧洲、亚洲、非洲、美洲、大洋洲等各大洲)的数据,均存储于此云端。
其在Telegram频道中表示,拥有⭐️军事文件数据库、⭐️完整公司数据库、⭐️文件扫描(身份证、驾驶证、护照)、⭐️消费者信息数据库、⭐️电话列表数据库、⭐️电子邮件列表数据库、⭐️外汇与加密货币数据库、⭐️赌场与游戏数据库、⭐️公民身份 & 社会保障号 & 税务识别号数据库、⭐️大型网站数据库……
据介绍,该网络犯罪分子使用的网站可以在明网(https://darkforums[.]st)与暗网(http://qeei4m7a2tve6ityewnezvcnf647onsqbmdbmlcw4y5pr6uwwfwa35yd[.]onion)同步访问,“暗网下/AWX”预计,FBI不会让其存在太长事件,未来也许会有国际执法机构对其的联合行动。