BF论坛数据库泄露-11个国家共1200名VIP用户数据泄露-全球CTI监控

2026年1月17日，【暗网威胁情报监测系统发现】一份自称来自BF论坛（BreachForums）的SQL文件泄露，宣称覆盖11个国家共1200名VIP用户数据，其中中国被明确列出，涉及95名用户。泄露字段包括用户ID、用户名、密码（明文存储）、等级、在线时长、发帖数量、国家及最后登录IP等16项关键信息。由于泄露者未声明VIP用户评定标准（如基于在线时长、发帖量或等级），无法确认VIP身份的可靠性。

20260119215847724-图片

此前已有消息称BF论坛的所有用户信息均已泄露，此番1200个VIP用户疑是从全量泄露库中遴选。无论事实如何，此次泄露会引发说这么诸多风险。

首先，密码明文泄露极易引发撞库攻击，威胁用户跨平台账户安全；其次，IP地址与国家关联暴露物理位置，增加追踪风险；中国用户涉入需警惕境内黑产利用。VIP标准缺失进一步放大隐患——所谓VIP可能基于未公开规则（如高发帖量或特定级别），数据真伪难辨，不排除伪造数据库以误导分析或制造恐慌。

VIP用户总体分布

VIP用户数量超过100的就有四个，俄罗斯有134个，巴西有114个，德国109，波兰106。其余8个国家的都在88-97之间，中国有95个用户。尽管泄露者也不有声明识别出用户所属国家的标志。据统计，这1200名用户里，有重复计数的情况，所以真正的有效ID应该少于1200。

国家	计数	占比
BR	114	10.2%
CN	95	8.5%
DE	109	9.7%
FR	97	8.7%
ID	94	8.4%
IN	88	7.9%
IR	94	8.4%
PL	106	9.5%
RU	134	12.0%
TR	93	8.3%
US	96	8.6%

所谓中国用户在线时长分布

在线时长（正常理解应该是累计的在线时间）分布统计：半小时以下：36人（37.9%）；半小时至1小时：14人（14.7%）；1小时至3小时：22人（23.2%）； 3小时以上：23人（24.2%）。主要发现：

短期在线用户最多：半小时以下的用户占比最高（37.9%），说明有相当一部分用户只是短暂访问

长期活跃用户稳定：3小时以上的用户占比24.2%，表明有近四分之一的用户是重度使用者

中等时长用户分布均匀：1-3小时和30分钟-1小时的用户比例相近，分别占23.2%和14.7%

这个分布呈现出两极分化的特点，既有大量短暂访问的用户，也有相当数量的深度用户，中间时长的用户相对较少。

所谓中国用户发帖子数量分布

对泄露数据中的归属于CN的用户的发帖数量进行统计分析发现，可以看到total_posts（总发帖数）的明显特征。

零发帖用户最多：有32个用户发帖数为0，即没有发布任何回复，占比最高；

低活跃度用户：发帖数1-5帖的用户较多（1帖18人、2帖11人、3帖8人、4帖7人、5帖2人）；

中等活跃用户：发帖数6-16帖的用户相对较少（6帖2人、8帖2人、10帖3人、11帖2人、12-14帖各1人）；

高活跃用户：存在几个异常活跃用户（16帖1人、26帖1人、27帖1人、28帖1人、91帖1人）；发帖最多的用户ID为77akar00v，注册邮箱为makar00v9999@XXXXX.com（查询另外一个库得到），但其行为模式异常。在线时长仅1小时44分钟，响应时间1.68秒，表明高效但短暂的活动；主题数为0，说明用户仅回复而非创建内容，结合等级和头衔均为“Breached”（可能表示账户已遭入侵），声望值、邀请成员数均为0，提示账户或已被第三方滥用。IP地址31.226.XXX.185虽标注为CN，但VPN等因素使物理位置不可靠。

用户发帖行为呈现典型的幂律分布特征，绝大多数用户（约50+）发帖数在5帖以下，只有极少数用户（约10人）发帖数超过10帖，存在明显的”二八定律”现象 – 少数用户贡献了大部分内容。

需要说明的是，经比对Resecurity公司发布的那个泄露库（Resecurity正在共享已获取的网络犯罪论坛数据库，供进一步下载和独立分析。不建议从任何其他来源（尤其是暗网）下载此数据库，因为它可能包含恶意代码。该数据库包含323,986位用户的元数据，这些数据提取自MySQL数据库表，该表与开源论坛软件MyBB相关），所谓1200个用户的VIP库与这个全量库格式不完全一致，VIP库没有邮箱，而这个323986个用户的库里没有IP。但简单验证有相同的用户。

Resecurity分析的这个用户库里，归属为CN的用户排名大概在87位，数量相对较少。

20260119215449750-图片