BreachForums’un hacklediği forum veri tabanı sızdırıldı ve 324.000 hesap açığa çıktı

Kötü şöhretli BreachForums hack forumunun en son versiyonu, kullanıcı veritabanı tablosunun internete sızdırılmasıyla bir veri ihlaline maruz kaldı.

BreachForums, çalınan verilerin ticareti, satışı ve sızdırılmasının yanı sıra kurumsal ağlara ve diğer yasa dışı siber suç hizmetlerine erişim satışı için kullanılan bir dizi bilgisayar korsanlığı forumunun adıdır.

Site, bu forumlardan ilki olan RaidForums’un kolluk kuvvetleri tarafından ele geçirilmesi ve sahibi “Omnipotent”in tutuklanmasının ardından açıldı.

BreachForums geçmişte veri ihlallerine ve polis müdahalelerine maruz kalmış olsa da, defalarca yeni alan adları altında yeniden hizmete sunuldu ve bazıları onu artık kolluk kuvvetleri için bir bal küpü olmakla suçladı.

Dün, adını ShinyHunters gasp çetesinden alan bir web sitesi,breakedforum.7z adlı bir 7Zip arşivi yayınladı.

Bu arşiv şu adlara sahip üç dosya içerir:

• parlakhunte.rs-james’in-hikayesi.txt
• veriboose.sql
• ihlaledilenforum-pgp-key.txt.asc

ShinyHunters gasp çetesinin bir temsilcisi BleepingComputer’a, bu arşivi dağıtan siteyle herhangi bir bağlantısının olmadığını söyledi.

Arşivin ‘breachedforum-pgp-key.txt.asc’ dosyası, 25 Temmuz 2023’te oluşturulan ve BreachForums tarafından yöneticilerden gelen resmi mesajları imzalamak için kullanılan PGP özel anahtarıdır. Anahtar sızdırılmış olsa da parola korumalıdır ve parola olmadan mesajları imzalamak için kötüye kullanılamaz.

“databoose.sql” dosyası, üye görünen adlarını, kayıt tarihlerini, IP adreslerini ve diğer dahili bilgileri içeren 323.988 üye kaydını içeren bir MyBB kullanıcı veritabanı tablosudur (mybb_users).

BleepingComputer’ın tablo analizi, IP adreslerinin çoğunun yerel geridöngü IP adresine (0x7F000009/127.0.0.9) eşleştiğini, dolayısıyla pek kullanılmadıklarını gösteriyor.

Ancak 70.296 kayıt 127.0.0.9 IP adresini içermiyor ve test ettiğimiz kayıtlar genel bir IP adresiyle eşleşiyor. Bu genel IP adresleri, bu kişiler için bir OPSEC endişesi olabilir ve kolluk kuvvetleri ve siber güvenlik araştırmacıları için değerli olabilir.

Yeni sızdırılan kullanıcı veri tabanındaki son kayıt tarihi 11 Ağustos 2025’tir; bu tarih, ihlalforumlarındaki önceki BreachForum’larla aynı gündür.[.]hn kapatıldı. Bu kapatma, işletmeci olduğu iddia edilen bazı kişilerin tutuklanmasının ardından geldi.

Aynı gün, ShinyHunters gasp çetesinin bir üyesi, “Dağınık Lapsus $ Avcıları” Telegram kanalına bir mesaj yayınlayarak forumun kolluk kuvvetlerinin bal küpü olduğunu iddia etti. BreachForums yöneticileri daha sonra bu iddiaları yalanladı.

İhlal forumları[.]hn alan adı, ShinyHunters gasp grubu tarafından gerçekleştirilen yaygın Salesforce veri hırsızlığı saldırılarından etkilenen şirketlere şantaj yapmak üzere yeniden tasarlandıktan sonra Ekim 2025’te kolluk kuvvetleri tarafından ele geçirildi.

“Yok” olarak bilinen mevcut BreachForums yöneticisi, MyBB kullanıcı veritabanı tablosunun bir yedeğinin geçici olarak güvenli olmayan bir klasörde açığa çıkarıldığını ve yalnızca bir kez indirildiğini belirterek yeni ihlali kabul etti.

N/A, BreachForums’ta şunları yazdı: “İddia edilen bir veritabanı sızıntısıyla ilgili son tartışmalara değinmek ve ne olduğunu net bir şekilde açıklamak istiyoruz.”

“Öncelikle bu yeni bir olay değil. Söz konusu veriler, BreachForums’un .hn alanından geri yüklendiği/kurtarıldığı dönemde, Ağustos 2025’e kadar uzanan eski bir kullanıcı tablosu sızıntısından kaynaklanıyor.”

Yönetici, “Geri yükleme işlemi sırasında, kullanıcı tablosu ve forum PGP anahtarı, çok kısa bir süre için güvenli olmayan bir klasörde geçici olarak saklandı. Araştırmamız, klasörün bu pencere sırasında yalnızca bir kez indirildiğini gösteriyor” diye devam etti.

Yönetici, BreachForums üyelerinin riski azaltmak için tek kullanımlık e-posta adresleri kullanması gerektiğini ve çoğu IP adresinin yerel IP’lerle eşleştirildiğini söylese de, veritabanı hala kolluk kuvvetlerinin ilgisini çekebilecek bilgiler içeriyor.