美国和法国执法部门联合行动,于昨晚接管了由“ShinyHunters”黑客组织运营的BreachForums黑客论坛所有域名。该论坛主要作为勒索团伙和黑客用于泄露企业数据的平台。这在“Scattered Lapsus$ Hunters”黑客威胁泄露未支付赎金企业的Salesforce数据之前实现。
据网络犯罪分子通过Telegram发布的PGP签名消息证实BreachForums已被查封。他们表示此次查封不可避免,并宣称“论坛时代已结束”。
BleepingComputer确认BreachForums已由执法机关控制,其最新域名更新发生于10月9日,域名服务器已被改为FBI用于查封的服务器。从执法部门采取行动后分析来看,ShinyHunters认为自2023年以来的所有BreachForums数据库备份均已被掌控,连同自最近一次重启以来的所有托管(escrow)数据库。此外该团伙还提到后端服务器已遭查封,但其暗网数据泄露网站仍可访问。
ShinyHunters团队表示,核心管理员团队无人被捕,但他们不会再次重启BreachForums,并提醒类似网站今后应视为“钓鱼陷阱”。
据黑客声明,在RaidForum被查封后,同一核心团队曾多次计划论坛重启,并使用如“pompompurin”等管理员账号做掩护。
黑客组织强调,此次查封不会影响他们的Salesforce行动,数据泄露仍定于美国东部时间今晚11:59进行。
该团伙的暗网数据泄露网站列出了在Salesforce行动中受影响的企业名单,包括:FedEx、Disney/Hulu、Home Depot、Marriott、Google、Cisco、Toyota、Gap、麦当劳、Walgreens、Instacart、Cartier、Adidas、Sake Fifth Avenue、法国航空KLM、Transunion、HBO MAX、UPS、Chanel以及宜家(IKEA)。
据黑客称,他们窃取了超过十亿条有关客户的信息记录。
需澄清的是,此次执法部门查封的BreachForums,与此前同名网站有所不同,此新版本并非传统意义上的网络犯罪论坛,而是专门针对高调勒索活动(如Salesforce数据泄露)而设的数据敲诈平台。
Scattered Lapsus$ Hunters使用BreachForums开展Salesforce行动
BreachForums以经典形态最近一次重启是在2025年7月。当时法国执法部门刚刚逮捕了之前多次论坛重启的四名管理员,包括ShinyHunters、Hollow、Noct和Depressed。与此同时,美国执法部门也宣布对知名黑客“IntelBroker”(本名Kai West)提起指控。
2025年8月中旬,BreachForums网站突然下线,ShinyHunters发布PGP签名消息称论坛基础设施已被法国BL2C警察单位及FBI查封,并警告不会再有新的重启。