BreachForums – Lộ danh tính gần 324 nghìn tội phạm mạng quốc tế

Vào đầu năm 2026, một trong những diễn đàn đen tối nhất từng tồn tại trên Internet – BreachForums – đã trở thành nạn nhân của chính trò chơi mà nó đã tạo ra: bị xâm nhập, và dữ liệu của gần 324,000 tài khoản cybercriminals bị tung lên mạng công khai.

Thay vì là nơi ẩn náu an toàn cho tin tặc và kẻ buôn dữ liệu, giờ đây chính các thành viên tưởng chừng “ẩn danh” lại có nguy cơ bị lột trần. Đây không chỉ là một vụ rò rỉ thông thường, nó chính là lời cảnh tỉnh với cả thế giới an ninh mạng.

Tổng quan

BreachForums được biết đến là diễn đàn trao đổi dữ liệu đánh cắp, công cụ xâm nhập, và dịch vụ cybercrime, một bản “thế giới ngầm” tương tự RaidForums, nền tảng từng bị chính quyền Mỹ triệt phá năm 2022.

Trong vụ rò rỉ mới nhất, một người tự xưng là “James” đã công bố gần 324,000 bản ghi dữ liệu thành viên bao gồm username, email, địa chỉ IP, ngày đăng ký và metadata khác lên một trang web có liên quan tới nhóm ShinyHunters, vốn cũng là một tổ chức tội phạm mạng nổi tiếng.

Nguồn: Resecurity

Các chuyên gia an ninh mạng đã thực hiện một phân tích dựa trên các địa chỉ IP được xác định và vị trí địa lý của chúng. Tất nhiên, điều quan trọng là phải xem xét việc những kẻ tấn công sử dụng VPN và proxy. Đồng thời, phần lớn những kẻ tấn công được xác định có nguồn gốc từ Hoa Kỳ, Đức, Hà Lan, Pháp, Thổ Nhĩ Kỳ, Vương quốc Anh, cũng như Trung Đông và Bắc Phi, bao gồm Maroc, Jordan và Ai Cập. Để đảm bảo tính chính xác, chúng tôi đã sử dụng địa chỉ IP đăng ký của người dùng và địa chỉ IP lần cuối được nhìn thấy được lưu trữ trong cơ sở dữ liệu của diễn đàn.

A chart showing the location of BreachForums members

Nguồn: Resecurity

Điều thú vị là dữ liệu này không cần giải mã phức tạp vì email được lưu plaintext, và nhiều IP là địa chỉ công khai. Với những thông tin này, các cơ quan điều tra có thể nhanh chóng liên kết danh tính thật sự với những tài khoản tưởng là “ẩn danh”.

Tội phạm mạng cũng không an toàn:
BreachForums không chỉ bị tấn công, nó bị dữ liệu chính người dùng của nó tiết lộ. Đây là điều mà chính các thành viên diễn đàn chưa từng nghĩ tới.

OPSEC thất bại nghiêm trọng:
Hơn 70,000 bản ghi chứa IP công khai, một dữ liệu mà không chỉ pháp luật mà cả những hacker khác cũng có thể lợi dụng để theo dõi, tấn công ngược lại.

MyBB – một yếu điểm chết người:
Nguyên nhân rò rỉ xuất phát từ sao lưu cơ sở dữ liệu được đặt trong thư mục chưa bảo mật trong quá trình khôi phục hệ thống, cho thấy một lỗi cấu hình phần mềm cũng có thể khiến một diễn đàn ẩn danh trở nên minh bạch.

BreachForums từng bị chính phủ các nước tấn công nhiều lần, FBI từng cáo buộc và bắt giữ người điều hành đầu tiên, Conor Brian Fitzpatrick, vào năm 2023. Nhiều nghi ngờ còn cho rằng không ít lần các diễn đàn này bị lợi dụng làm honeypot (bẫy pháp luật) nơi thu thập thông tin mật của kẻ xấu để phục vụ truy quét.

Với dữ liệu rò rỉ mới, việc xác định danh tính và hành vi của hàng ngàn kẻ tấn công có thể đơn giản hơn bao giờ hết và đó là hồi chuông cảnh cáo mạnh mẽ cho cộng đồng tội phạm mạng toàn cầu.

Bài học ATTT cho mọi người

1. Không có “ẩn danh” tuyệt đối trên Internet

Ngay cả khi bạn nghĩ rằng bạn đang hoạt động “ẩn danh” trên một diễn đàn kém danh tiếng. một lỗi nhỏ hoặc một lần sao lưu thiếu sót có thể khiến tất cả danh tính bị phơi bày.

2. OPSEC (Operational Security) là bức tường cuối cùng

Kẻ xấu có thể che giấu đường đi nước bước của họ rất tốt, cho tới khi họ phạm sai lầm cơ bản nhất trong quy trình quản trị hệ thống. Đây là điều mà chính những hacker trong BreachForums đã trải nghiệm.

3. Dữ liệu là vũ khí — và cũng là điểm yếu

Ngay cả dữ liệu hash (như mật khẩu dạng Argon2) cũng có giá trị nếu được kết hợp với email hoặc IP từ các dữ liệu khác. Khi “mảnh ghép” này bị lộ, cả hệ thống ẩn danh sẽ sụp đổ.