由pompompurin創建的“經典”BreachForums（以下簡稱BF），這個曾經在暗網中統治的惡夢，在短暫的生涯中——2022年即達到了巔峰，甚至超越了前任霸主RaidForums。在暗網世界的活躍度和訪問量上，BF穩坐榜首，其影響力深遠而廣泛，貫穿所有層級：普通網民、企業、政府，甚至軍事。然而，2023年3月15日，這個惡性循環的怪獸由于其所有者Pompompurin被FBI逮捕，而宣告結束——但，誰知這只是暫時的。

BF，這是一個集匯無數底線的地方，充斥著數據竊取、信息交易和惡意軟件的傳播。這個論壇充分利用了暗網的匿名特性，成為一股巨大的負面力量，不斷給全球網絡空間造成深重傷害。

政府機關因此受到威脅，經常發現敏感信息被非法獲取并在此論壇上出售。企業受損更甚，商業機密泄露，造成的損失幾乎無法估計。特別是那些擁有大量用戶數據的企業，他們經常發現自己的客戶信息在BF上公開或被交易。無論是社交、電子商務還是金融服務，無一幸免。此外，普通網絡用戶也成為攻擊的目標——個人密碼、健康信息、信用卡詳情，這些私人數據在BF上面市，帶來了巨大的陰影和恐懼。

這個論壇的存在，其實不僅僅是刺激了犯罪行為，還使全球網絡變得緊張和不確定，威脅著數字時代的信任體系。

本期報告將針對“經典”BF進行分析（特別說明，由Baphomet重啟的新BF，將在未來做分析），嘗試尋找出某些規律和結論。

BF截止被FBI取締，共發布近5萬條情報和近百萬篇論壇貼，注冊用戶量超過25萬人。

論壇內容主要分為：常規、泄露、市場三大部分。其中“常規”分論壇中包含：公告、介紹、世界新聞、動漫、禮品、音樂等正常內容；“泄露”分論壇主要包含：游戲泄露、數據庫泄露、日志泄露等內容；“市場”分論壇主要包含：一般市場、驗證的市場、泄露市場、客戶市場、主機/VPS、VPN/代理等內容。“泄露”和“市場”是整個論壇的主要內容。如下示例：

其核心成員和活躍用戶均于2022年3-5月注冊，平均發布情報數量在數十至數百份不等，如下圖所示：

論壇創建者（Owner）ID為：pompompurin，我們可以看到，其于2022年3月4日開放并注冊了BF，并于2023年3月15日被FBI逮捕；管理員（Admin）ID為：Baphomet，在BF被取締后不到3個月，由臭名昭著的黑客組織ShinyHunters進行扶持或合作，重啟了新BF項目。

BF在一年時間中成為暗網中最活躍的網站，并非偶然，它除了匯聚大量的黑客和活躍的市場買家以外，還得益于管理者進行了大量和專業的情報整理和發布，如下圖所示：

由BF作為認證官方，在數萬份情報（包含往年泄露數據）中，整理出842份精選情報，并將其免費發布，共涉及全球約140億條泄露數據。不得不感慨其敬業度與專業能力。

據零零信安0.zone平臺捕獲的BF情報進行分析，其中內容包含數據泄露、黑客服務、工具買賣、攻擊情報、政治時局和數據買賣等。

0.zone共解析出21247份數據泄露情報，估算總泄露數據量高達200-500TB以上，其中包括各類政府文件、企業機密、工商信息、公民隱私、金融日志、賬號密碼等數據。

以下為“經典”BF被取締前，最后一份被捕獲的數據泄露售賣情報：

所有數據泄露事件，約有30%左右無法判定其歸屬地，其大部分為賬號密碼等個人隱私數據、混合數據、無法確定歸屬國的網站泄露數據（例如色情、博彩網站），以及波及多地區（或全球）數據。

在可判定歸屬國的數據泄露事件中，全球共有超過100個國家遭受波及，受到影響最大的國家依次為：美國、俄羅斯、中國、印尼、印度、白俄羅斯、法國、巴西、英國、德國、土耳其、新西蘭、澳大利亞、意大利、墨西哥、日本、烏克蘭、西班牙、加拿大、馬來西亞、伊拉克、波蘭、泰國、阿根廷、以色列等。

TOP10排名和占比如下圖所示：

共有超過400名黑客泄露和販賣過我國數據，其中依據本報告評價，按照對我國影響程度排名TOP10的主要人員或組織包括：

FBI積極偵破和取締BF，一方面是因其對全球網絡信任的破壞，另一方面也源于其對美國政府、企業、公民等各方面的數據泄露。其中包括：聯邦政府、紐約政府、美國航空航天局、美國衛生與公眾服務部、美國國會數據等：

BF對于各個國家的危害遠不止于此，他們宣稱出售北約數據，他們宣稱2022年為東南亞政府“開源”年，等等不一枚舉。

值得注意的是，在“經典”BF被取締后不久，新BF已經重啟，并在短短一個多月時間內已重新匯聚了上萬名用戶，數千條情報以及數萬篇論壇貼。全球充滿惡意的人并沒有減少，隨著我國數字化轉型的深入，數據安全工作與網絡對抗任重而道遠。

預告：Part 4 商業黑客組織，“流星街”的原住民們，敬請期待。（零零信安 王宇）