FBI 捣毁用于勒索 Salesforce 的 BreachForums 论坛平台

FBI 查封了黑客组织 ShinyHunters所使用的 BreachForums 论坛域名。该域名此前被用作数据泄露勒索平台，与针对 Salesforce 的大规模攻击相关；而该黑客组织声称，执法部门还窃取了这个臭名昭著的黑客论坛的数据库备份。

此次被查封的域名为 Breachforums.hn。今年夏天，该域名曾被用于重新上线 BreachForums 黑客论坛，但不久后，因多名涉嫌运营该论坛的人员被捕，网站再次下线。

2025 年 10 月，一个名为 “Scattered Lapsus$ Hunters”的黑客团伙将该域名改造为 Salesforce 数据泄露平台，以勒索那些受 Salesforce 数据窃取攻击影响的企业。该团伙声称其成员与 ShinyHunters、Scattered Spider及 Lapsus$这三个勒索组织存在关联。

上周二，该平台的明网域名 breachforums.hn 及其 Tor 暗网版本均已下线。其中，Tor 暗网站点很快恢复访问，但 BreachForums 明网域名始终无法打开 —— 其域名已切换至美国政府此前查封其他域名时所用的 Cloudflare 域名服务器。

10 月 9 日晚，FBI 完成了查封行动：在该网站添加了查封公告横幅，并将域名的域名服务器切换为 ns1.fbi.seized.gov 与 ns2.fbi.seized.gov。

根据查封公告内容，在美国与法国执法部门的协作下，双方在 Scattered Lapsus$ Hunters团伙开始泄露 Salesforce 攻击所获数据之前，就已控制了 BreachForums 论坛的网络基础设施。

然而，由于该团伙的 Tor 暗网站点仍可访问，其声称将在美国东部时间10月10日晚 11 点 59 分开始泄露 Salesforce 相关数据，目标直指未支付赎金的企业。

2023 年以来的数据库备份已被 FBI 掌控

除捣毁上述数据泄露平台外，ShinyHunters 组织证实，执法部门还获取了 BreachForums 黑客论坛此前多个版本的存档数据库。

“BleepingComputer”媒体核实，ShinyHunters通过 Telegram 发布了一条用其 PGP 密钥签名的信息。该黑客组织在信息中称，此次查封 “早已不可避免”，并表示 “论坛时代已经结束”。

通过对执法部门行动后的情况分析，ShinyHunters得出结论：2023 年以来 BreachForums 论坛的所有数据库备份，以及该论坛最新一次重启后所有的第三方托管（escrow）数据库，均已被泄露。

该团伙还表示，其后台服务器已被查封，但该组织在暗网上的数据泄露站点仍在运行。

ShinyHunters称，其核心管理团队无人被捕，但不会再重新上线 BreachForums 论坛，并指出从今往后，此类论坛都应被视为 “蜜罐”。

根据该黑客组织的消息，在RaidForum平台被捣毁后，同一核心团队曾计划多次重启论坛，并利用 pompompurin等管理员作为幌子。

ShinyHunters 团伙在 FBI 查封 BreachForums 后的声明

该网络犯罪团伙强调，此次查封并未影响其针对 Salesforce 的攻击行动，数据泄露仍按原计划于美东时间当日晚 11 点 59 分进行。

该团伙的暗网数据泄露站点显示，受 Salesforce 攻击影响的企业名单冗长，其中包括联邦快递（FedEx）、迪士尼 / 葫芦视频（Disney/Hulu）、家得宝（Home Depot）、万豪（Marriott）、谷歌（Google）、思科（Cisco）、丰田（Toyota）、盖璞（Gap）、麦当劳（McDonald’s）、沃尔格林（Walgreens）、因斯塔卡特（Instacart）、卡地亚（Cartier）、阿迪达斯（Adidas）、萨克斯第五大道精品百货（Saks Fifth Avenue）、法航 – 荷航集团（Air France & KLM）、环联（TransUnion）、HBO MAX、联合包裹速递服务公司（UPS）、香奈儿（Chanel）及宜家（IKEA）等。

黑客声称，他们窃取了超 10 亿条包含用户信息的记录。