Când hackeri și autorități se confruntă, atenția se concentrează pe cine deține controlul informațiilor. FBI a preluat domeniul BreachForums.hn, folosit recent ca platformă de scurgeri de date de grupul ShinyHunters și de o echipă denumită Scattered Lapsus$ Hunters pentru campania masivă împotriva Salesforce, iar oficialii afirmă că au confiscat și copii de rezervă ale bazelor de date ale fostului forum.
BreachForums.hn fusese utilizat vara aceasta pentru a reactiva celebrul forum de hacking, dar a dispărut rapid după arestările unor presupuşi operatori. În octombrie, domeniul a fost transformat de grupul Scattered Lapsus$ Hunters într-un site de scurgeri dedicat atacurilor asupra clienților Salesforce, menit să preseze companiile afectate să plătească. Marți, atât varianta clearnet a breachforums.hn, cât și versiunea Tor au devenit inaccesibile temporar. Tor a revenit curând, însă domeniul breachtforums.rămânea inaccesibil, iar înregistrările DNS au fost redirecționate spre nameservere folosite anterior pentru domenii confiscate de guvernul SUA.
Noaptea trecută, FBI a încheiat acțiunea: pe site a apărut un banner de confiscare, iar nameserverele au fost schimbate cu ns1.fbi.seized.gov și ns2.fbi.seized.gov. Mesajul afișat menționează că autoritățile din SUA și Franța au cooperat pentru a prelua infrastructura BreachForums înainte ca Scattered Lapsus$ Hunters să înceapă publicarea loturilor de date sustrase din Salesforce. Între timp, versiunea de pe Tor rămâne operațională, iar gruparea amenință că va publica datele azi la 23:59 EST pentru companiile care nu plătesc răscumpărare.
ShinyHunters a recunoscut, totuși, că forțele de ordine au pus mâna pe arhivele bazelor de date ale versiunilor anterioare ale BreachForums. Mesajul lor, semnat cu cheia PGP folosită de grup și confirmat de BleepingComputer, apreciază că confiscarea era iminentă și conține observația că era forumurilor pare să se apropie de sfârșit. Din analiza făcută după acțiune, ShinyHunters susține că toate copiile de rezervă ale bazelor de date din 2023 încoace, plus bazele de escrow de la ultima relansare, au fost compromise, iar serverele back-end au fost preluate de autorități. Cu toate acestea, site-ul de scurgeri de pe dark web rămâne online.
Gruparea afirmă că niciun membru din echipa administrativă de bază nu a fost arestat, dar adaugă că nu vor recrea BreachForums și recomandă prudență: astfel de site-uri trebuie privite acum ca posibile capcane. În comunicat se menționează și că, după închiderea RaidForum, aceeași echipă a încercat mai multe relansări ale forumului, folosind administratori precum pompompurin ca figuri publice.
Campania Salesforce rămâne, potrivit atacatorilor, activă. Pe site-ul dark web apare o listă extinsă de companii afectate, printre care FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France & KLM, TransUnion, HBO Max, UPS, Chanel și IKEA. Hackerii susțin că au sustras peste un miliard de înregistrări cu informații despre clienți, cifră care, dacă va fi confirmată, ar plasa furtul printre cele mai ample breșe raportate recent.
Rebootul cel mai recent al BreachForums, în formatul clasic, a fost anunțat de ShinyHunters în iulie 2025, la câteva zile după ce autoritățile din Franța au arestat patru administratori ai relansărilor anterioare, cunoscuți sub nick-urile ShinyHunters, Hollow, Noct și Depressed. Tot atunci, procurorii americani au formulat acuzații împotriva lui Kai West, alias IntelBroker, o figură importantă în ecosistemul criminalității cibernetice legate de BreachForums. În mijlocul lunii august, forumul a dispărut și ShinyHunters a publicat un mesaj semnat PGP în care afirma că infrastructura a fost confiscată de unitatea BL2C din Franța și de FBI, avertizând că nu vor mai exista relansări.
Acest proces de confiscare și relansare scoate în relief o problemă mai largă: rețelele de diseminare a datelor furate și piața neagră a informațiilor nu sunt doar tehnologie, ci și o rețea socială de administratori, escroci și curieri digitali, care încearcă constant să se reorganizeze după lovituri legale. Cazul BreachForums ilustrează cum cooperarea internațională a forțelor de ordine poate restrânge canalele publice, dar nu elimină automat accesul la materialele sensibile aflate încă pe Tor sau în alte colțuri mai puțin vizibile ale internetului. Următorii pași pentru companiile vizate de această listă, de la Google la IKEA, vor depinde de investigațiile tehnice și juridice care vor confirma volumul și natura datelor compromise. Ce măsuri concrete credeți că ar trebui să adopte o companie precum Marriott sau FedEx după o astfel de avertizare?
Fii primul care comentează