BreachForums 数据库泄露（2025 数据集，2026 年公开二次分发）-全球CTI监控

1. 执行摘要

2026 年 1 月 9 日，一个与 ShinyHunters 黑客团伙相关的网站 shinyhunte[.]rs 公开发布了 BreachForums（一个臭名昭著的地下黑客论坛）的用户数据库。该数据库包含约 323,986 至 324,000 条用户记录，泄露了用户名、电子邮件地址、Argon2 密码哈希以及 IP 地址等敏感元数据。

https://cti.libaisec.com/1186/

https://cti.libaisec.com/1353/

泄露文件名为 “breachedforum.7z”，除 SQL 数据库外，还附带泄露者 “James” 的长篇宣言和 BreachForums 官方 PGP 密钥文件。部分记录经过编辑（例如 IP 替换为 127.0.0.9），显示泄露者或管理员采取了 OPSEC 措施，但大量数据仍可验证真实性。

20260327102948998-图片

截至 2026 年 3 月，该数据库已在多个地下泄露市场（如 spear.cx）被重新分发。该事件进一步侵蚀了 BreachForums 的信任基础，并可能加速了该论坛后续的下线进程。对网络犯罪生态构成中高威胁，情报机构可利用该数据追踪活跃威胁行为者。

2. 事件背景与时间线

泄露发生时间：2025 年 8 月（数据库中最后注册记录为 2025 年 8 月 11 日），正值 BreachForums 从 .hn 域名恢复期间。管理员后续承认，用户表和 PGP 密钥曾临时存放在未保护的文件夹中，仅被下载一次。
公开泄露时间：2026 年 1 月 9 日，由自称 “James” 的泄露者在 shinyhunte[.]rs 发布，同时附带宣言。1 月 10 日，该泄露被 Have I Been Pwned（HIBP）收录，标记为 “BreachForums2025”。
2026 年再分发：3 月中旬起，spear.cx 等专业泄露市场出现标题为 “Database-BreachForums-as-Database-2026-Leaked-Download” 的线程，提供该数据库的下载镜像。这是典型的二次分发行为，旨在绕过原始站点可能存在的访问限制或恶意软件风险。

BreachForums 曾多次被执法部门打击（2022 年 RaidForums 前身、2023 年首次关闭、2025 年再次重启），此次内部泄露被视为对其运营的又一次重大打击。

3. 泄露数据详情

20260327103013956-图片

样本：https://ghostbin.lain.la/paste/q2aj3

数据库来源于 MyBB 论坛软件的 MySQL 表 hcclmafd2jnkwmfufmybb_users，核心字段包括：

用户名（username）
电子邮件地址（email）
Argon2 密码哈希（password hash）
IP 地址（IP address，部分经编辑为回环地址以混淆追踪）
注册日期、最后活动等元数据
可能包含部分公开帖子、私信关联记录

文件结构：SQL 转储 + 压缩包（breachedforum.7z）。额外文件包括：

泄露者 “James” 的宣言（指名道姓曝光部分 ShinyHunters、GnosticPlayers 成员真实身份或别名）
breachforums-pgp-key.txt（论坛官方 PGP 密钥，用于验证管理员签名）

Resecurity 等机构验证：部分记录与已知网络犯罪行为者高度吻合，但存在人为编辑痕迹，属于典型的 OPSEC 防护措施。

4. 归因与动机

主要嫌疑人：自称 “James”（又名 Mathis），被 BreachForums 现任管理员 “N/A” 描述为 ShinyHunters 前成员、“精神不稳定且被警方通缉”。管理员在论坛发帖否认泄露数据的新颖性，并称部分信息为虚假。
动机：宣言中 “James” 自称 “掠食者”，公开羞辱多名黑客，显示为内部矛盾或报复行为。ShinyHunters 代表随后否认部分内容，但未否认泄露本身。
技术成因：非高级入侵，更可能是迁移过程中的配置失误或临时文件暴露。