BREACHFORUMS DATABASE LEAK: 323.986 utenti con 70k IP e PGP privata

Nel gennaio 2026 un archivio contenente il database utenti di BreachForums, noto forum di cybercriminalità, è stato pubblicato su un sito esterno, esponendo i dati di circa 324.000 account registrati tra il 2022 e l’agosto 2025. Fonti indipendenti come BleepingComputer e Resecurity hanno analizzato il dump, confermandone l’autenticità e sottolineando le possibili conseguenze per l’operatività degli attori che frequentavano la piattaforma.

Cosa contiene il dump

L’archivio 7z diffuso da ShinyHunters extortion gang comprende tre elementi principali: una tabella MyBB con 323.988 record utenti, la chiave PGP privata usata dal forum e un lungo testo firmato da un individuo che si fa chiamare “James”.​
Nel database compaiono, per ciascun utente, nome visualizzato, indirizzo email, data di registrazione e ultimo accesso, hash delle password basati su Argon2i e indirizzi IP; circa 70.000 record includono un indirizzo IP pubblico, mentre il resto riporta un indirizzo di loopback interno.​

BleepingComputer osserva che “il dump SQL contiene 323.988 record utente, inclusi display name, data di registrazione, indirizzi email, hash Argon2i delle password e indirizzi IP”, evidenziando che una parte non trascurabile di questi ultimi è riconducibile a IP instradabili e geo localizzabili.​

La chiave PGP del forum

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Accanto al database è presente un file con la chiave PGP privata utilizzata per firmare le comunicazioni ufficiali di BreachForums, generata nel luglio 2023. La passphrase associata a questa chiave è stata resa pubblica pochi giorni dopo la diffusione del dump, rendendo possibile sia la creazione di messaggi falsamente attribuiti allo staff del forum, sia la potenziale decifrazione di contenuti che gli utenti ritenevano protetti.

Resecurity sintetizza così la portata del problema: la compromissione della chiave “consente di forgiare messaggi credibili come provenienti dal forum, con un impatto diretto sulla fiducia interna e nuove opportunità di social engineering”.

La versione dell’amministratore e le criticità

L’amministratore attuale, noto come “N/A”, ha dichiarato che i dati proverrebbero da un “incidente vecchio” risalente ad agosto 2025, durante lavorazioni di restore dopo il sequestro del precedente dominio, spiegando che “la tabella users e la chiave PGP sono state temporaneamente archiviate in una cartella non protetta, scaricata una sola volta in quella finestra temporale”.
Questa ricostruzione è stata accolta con scetticismo da diversi osservatori, sia per l’ampiezza del set di dati pubblicato, sia per il fatto che il dump è stato rapidamente replicato da più soggetti e indicizzato da servizi come Have I Been Pwned, il che suggerisce una circolazione più ampia rispetto al “download singolo” descritto.

Implicazioni tecniche per l’OPSEC

Dal punto di vista operativo, il leak fornisce tre vettori principali di rischio per gli utenti del forum:

• Indirizzi IP pubblici: circa 70.000 record contengono IP che possono essere sottoposti a geolocalizzazione e, in alcuni casi, a richieste legali verso i provider, con possibili ricostruzioni di infrastrutture, orari di attività e correlazione con altre evidenze d’indagine.
• Hash Argon2i delle password: sebbene Argon2i sia una funzione robusta, la combinazione di parametri noti e password deboli o riutilizzate può consentire ad attori dotati di sufficiente potenza di calcolo di recuperare credenziali in chiaro, da riutilizzare su altri servizi o per ricostruire identità pregresse.
• Chiave PGP compromessa: la possibilità di firmare messaggi con la chiave storicamente associata al forum introduce un rischio di falsi annunci, truffe interne e confusione deliberata, in particolare se combinata con la frammentazione della community dopo i numerosi sequestri subiti nel tempo.​

Per i team di threat intelligence e per le forze dell’ordine, il dump rappresenta invece un dataset ricco da correlare con altri archivi di credenziali, log di infrastrutture compromesse e campagne ransomware già attribuite. Resecurity sottolinea come diversi alias noti in ambito criminale compaiano nel database con email e metadati aggiuntivi che possono agevolare l’attribuzione e l’analisi delle catene di distribuzione di dati rubati.

Un forum già al centro di indagini e sequestri

Il breach si inserisce in una storia lunga: BreachForums era nato come successore di RaidForums dopo il sequestro di quest’ultimo da parte dell’FBI nel 2022 e l’arresto del suo fondatore, Conor Fitzpatrick. Nel 2023 e poi nel 2024-2025 diverse infrastrutture e domini collegati a BreachForums sono stati a loro volta sequestrati, in alcuni casi dopo che il forum era stato utilizzato come piattaforma di estorsione contro grandi aziende.

Le analisi di CSO Online e The Register osservano che questa sequenza di arresti, sequestri e rilanci successivi ha alimentato nel tempo sospetti ricorrenti all’interno della stessa community sull’eventuale presenza di infiltrazioni o cooperazione con le autorità, sospetti che il leak attuale rischia ora di amplificare.

 Pubblicazione del leak sul sito BreachForums stesso: anomalia strategica

Un elemento particolarmente significativo emerge dalla presenza di un thread ufficiale sul forum BreachForums che offre un link diretto per il download del dump (intitolato “BreachForums Database Leaked”, con pulsanti “Download today” e testo “All BreachForums users have been leaked. Email addresses, passwords and forum IPs have been leaked”).

L’analisi di questo comportamento solleva diverse ipotesi operative:

Controllo della narrativa: Lasciando il thread online, gli amministratori potrebbero mirare a “sdoganare” il leak, riducendo il panico tra gli utenti e mantenendo il forum come punto di riferimento centralizzato per le discussioni. Raccolta intelligence: I download dal sito ufficiale permettono di tracciare gli indirizzi IP e le sessioni degli utenti che accedono al file, identificando potenziali rivali, infiltrati o utenti in preda al panico. ​Pressione interna: In un contesto di accuse reciproche (manifesto “James” vs admin), il thread potrebbe servire come strumento di destabilizzazione verso fazioni interne o ex-membri.

​Nessuna fonte mainstream conferma esplicitamente il thread, ma lo screenshot fornito indica una mossa deliberata, non casuale, che amplifica l’esposizione dei dati all’interno della community stessa. Questo approccio – pubblicare sul sito vittima il proprio leak – è anomalo ma coerente con dinamiche di potere tipiche dei forum underground, dove il caos controllato rafforza la resilienza del gruppo dominante.

​Implicazioni tecniche per l’OPSEC

Dal punto di vista operativo, il leak fornisce tre vettori principali di rischio per gli utenti del forum:

Indirizzi IP pubblici: circa 70.000 record contengono IP che possono essere sottoposti a geolocalizzazione e, in alcuni casi, a richieste legali verso i provider.

​Hash Argon2i delle password: la combinazione di parametri noti e password deboli può consentire recuperi di credenziali utilizzabili altrove.

​Chiave PGP compromessa: rischio di falsi annunci e confusione interna, aggravato dalla presenza del thread ufficiale che ne facilita la diffusione.

​Per i team di threat intelligence, il dataset è arricchito dalla geolocalizzazione degli IP (USA dominante, Europa, MENA) e dalla lista di ruoli gerarchici (admin/moderator), utili per prioritizzare target investigativi.

​Un forum già al centro di indagini e sequestri

Considerazioni per aziende e analisti

Per le organizzazioni che in passato hanno visto i propri dati comparire su BreachForums, il nuovo dump offre la possibilità di arricchire le indagini: incrociare gli indirizzi email e gli alias presenti nel database con incidenti pregressi può aiutare a ricostruire meglio filiere di vendita e riuso dei dati rubati. Strumenti come “Have I Been Pwned”, che ha già catalogato il breach, permettono alle aziende di verificare in modo rapido l’eventuale esposizione degli indirizzi email aziendali utilizzati sul forum.

Per chi opera in ambito CTI, il dataset costituisce una base per attività di correlation e pivoting: dagli IP ai provider, dagli alias ai canali Telegram o ad altri forum, dagli hash password a possibili riutilizzi di credenziali, con l’obiettivo di comprendere meglio reti di collaborazione e sovrapposizioni tra gruppi differenti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Inva Malaj

Studente con una solida formazione in gestione delle minacce di sicurezza informatica, intelligenza artificiale, etica dell'AI e trasformazione digitale. Attualmente impegnata in uno stage curriculare di 800 ore in Security Threat Management presso TIM, che è parte integrante del corso di formazione "Digital Transformation Specialist" presso l'ITS Agnesi a Roma. Ho completato il corso di Dark Web - Threat Management e sono parte attiva del Team DarkLab di Red Hot Cyber.