A versão mais recente do infame fórum de hackers BreachForums sofreu um vazamento de dados, com a tabela de usuários sendo divulgada online.
BreachForums é uma rede de fóruns usados para trocar, vender e vazar dados roubados, além de comercializar acessos a redes corporativas e oferecer outros serviços ilegais relacionados ao cibercrime.
O site foi criado após a apreensão do primeiro fórum desse tipo, o RaidForums, cujo proprietário, conhecido como "Omnipotent", foi preso pela polícia.
Embora BreachForums já tenha passado por vazamentos e operações policiais no passado, ele tem sido relançado constantemente em novos domínios.
Há quem acuse o fórum atual de ser uma armadilha (honeypot) das autoridades.
Ontem, um site associado ao grupo de extorsão ShinyHunters publicou um arquivo 7Zip chamado breachedforum.7z.
Esse arquivo contém três documentos nomeados:
- shinyhunte.rs-the-story-of-james.txt
- databoose.sql
- breachedforum-pgp-key.txt.asc
Um representante do ShinyHunters afirmou que o grupo não tem ligação com o site que distribuiu esse arquivo. O arquivo “breachedforum-pgp-key.txt.asc” é a chave privada PGP criada em 25 de julho de 2023, usada pelo BreachForums para assinar mensagens oficiais dos administradores.
Apesar de vazada, a chave está protegida por senha e não pode ser usada para assinar mensagens sem a passphrase.
Já o arquivo “databoose.sql” contém a tabela de usuários do MyBB (mybb_users) com 323.988 registros, incluindo nomes exibidos, datas de registro, endereços IP e outras informações internas.
A análise revelou que a maioria dos endereços IP está associada a um endereço de loopback local (0x7F000009 / 127.0.0.9), o que reduz seu valor para investigação.
No entanto, 70.296 registros possuem IPs públicos que representam risco à OPSEC (operational security) desses usuários.
Essas informações são potenciais alvos para autoridades e pesquisadores de cibersegurança.
A última data de registro encontrada na base vazada é 11 de agosto de 2025 — mesmo dia em que o BreachForums hospedado no domínio breachforums[.]hn foi fechado, após a prisão de alguns de seus supostos operadores.
Nesse mesmo dia, um integrante do ShinyHunters publicou uma mensagem no canal Telegram “Scattered Lapsus$ Hunters” alegando que o fórum seria uma armadilha da polícia.
A administração do BreachForums negou imediatamente essas acusações. O domínio breachforums[.]hn foi apreendido pela polícia em outubro de 2025, após ter sido utilizado para extorquir empresas afetadas pelo grande ataque de roubo de dados ao Salesforce, realizado pelo grupo ShinyHunters.
O atual administrador do BreachForums, conhecido apenas como “N/A”, reconheceu o novo vazamento, explicando que um backup da tabela de usuários do MyBB ficou temporariamente exposto em uma pasta sem proteção e foi baixado apenas uma vez.
“Queremos esclarecer as recentes discussões sobre um suposto vazamento e explicar exatamente o que ocorreu”, escreveu N/A no fórum.
“Primeiro, esse não é um incidente recente. Os dados vazados são de um antigo vazamento da tabela de usuários de agosto de 2025, durante o processo de restauração do BreachForums a partir do domínio .hn”. “Durante a restauração, a tabela de usuários e a chave PGP do fórum foram armazenadas temporariamente em uma pasta sem segurança por um curto período. Nossa investigação indicou que essa pasta foi baixada apenas uma vez nesse intervalo”, acrescentou o administrador.
Embora tenha recomendado que os usuários utilizem e-mails descartáveis para reduzir riscos e ressaltado que a maior parte dos IPs relacionados é local, a base de dados ainda contém informações que podem ser úteis para as autoridades.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...