Leakbase 论坛自 2021 年起开始运营,据称拥有超过 14.7 万注册用户和超过 21.5 万条成员间消息,涉及数亿条泄露数据。美国司法部将其定义为全球最大的数据交易中心之一。
虽然距离行动已有一段时间(事件发生在 2026 年 3 月初),但这无疑是一个执法策略发生显著转变的典型案例:执法机构不再以“抓捕管理员”为首要突破口,而是优先控制平台的全部数据,再基于这些数据反向追查发帖用户的真实身份。毕竟对于这类数据售卖平台而言,单纯抓捕管理员的意义有限(除非管理员本身就是攻击团队的核心),真正的打击重点在于那些源源不断提供和交易数据的用户。
相较于传统的“从人到平台”的侦查路径,这种“从平台到人”的新方式更具实际杀伤力。因为对于 Leakbase 这类交易型黑产社区来说,核心风险与持续威胁并非来自平台管理者,而是那些构成数据流通网络的用户节点。这也解释了为何在此次行动中,论坛管理员反而是在收尾阶段才被逮捕。
行动时间线梳理
针对 Leakbase 的调查并非临时起意。根据欧洲方面披露的信息,最早可追溯到 2023 年,由荷兰警方发起,随后在欧洲刑警组织 Europol 的牵头下扩大为跨国联合案件。在此之后,执法机构很可能经历了长时间的监控、渗透以及关键数据获取阶段。
真正的收网行动发生在 2026 年 3 月 3 日至 4 日。美国司法部联合 Europol 以及来自美国、英国、加拿大、澳大利亚、西班牙、比利时、波兰、罗马尼亚等十多个国家的执法力量同步行动,马来西亚方面也配合处理了服务器相关事宜。行动内容包括上门搜查、扣押设备、实施逮捕以及大量的警示性接触。
全球范围内共执行了约 100 次执法行动,其中包括针对 37 名最活跃用户的抓捕措施。
与此同时,Leakbase 的域名被执法部门接管,网站首页被替换为正式的执法公告,并明确声明平台的所有账户、帖子、私信、信用卡详情及 IP 日志均已被作为证据保存。至此,可以确认执法机构已完全掌握该论坛的完整数据库。
然而,事情并未就此结束。在 3 月 8 日至 9 日,Leakbase 利用新的 .bz 域名重新上线,并接入了 DDoS-Guard 等防护服务,网站内容和功能基本恢复。
转机出现在 3 月中下旬。俄罗斯方面单独宣布,在塔甘罗格逮捕了一名 33 岁的嫌疑人,确认为 Leakbase 管理员。多家安全公司将其与管理员曾使用的别名(如 Chucky, beakdaz, Sqlrip)相关联。执法人员对其住所进行了搜查,扣押了电子设备,随着调查的深入,站点再次下线。
核心复盘与策略价值
本次事件最显著的转变在于,执法目标首次大规模聚焦于平台注册成员。行动路径清晰可辨:先攻取数据并打击核心用户 → 平台短暂复活 → 利用复活阶段暴露的线索反向锁定管理员 → 最终彻底关闭。
以往针对同类论坛的案件,通常遵循“抓管理员 → 控制平台”的逻辑。而 Leakbase 案则完全相反,是“先掌控平台数据 → 逆向追查用户 → 最后定位管理员”。平台在整个过程中更像是一个庞大的“数据入口”,而非最终目标。第一轮行动并未试图完全控制核心人员,因此站点得以快速复活,而恰恰是复活过程,暴露了管理员的真实活动痕迹与关联信息。
这再次证明,在打击网络犯罪时,数据的价值远高于平台本身。Leakbase 作为一个集中化的交易社区,将用户、交易记录、通信内容全部汇聚在一个数据库中。一旦这个数据库被执法部门获取,所有参与者的行为图谱都将被动曝光,为后续的关系链分析和身份还原提供了坚实的基础。
此外,私信数据的作用被前所未有地放大。超过 20 万条的私信记录,本质上构成了一张完整的黑产通讯网络图,其中包含大量的外部联系方式(如 Telegram、邮箱等),使得调查能够轻易地延伸至平台之外,打击更广泛的犯罪链条。
抓捕策略也体现出精细化调整,不再追求“广撒网”式的全覆盖,而是优先处理高价值连接节点,即那些关键的数据供应者和分发者。这类节点一旦被拔除,对整个地下数据流通生态的破坏力,远大于清理普通零星用户。
此次针对 Leakbase 的全球围剿,为打击暗网及黑产论坛提供了新的战术范本,标志着执法行动正变得更加数据驱动和精准高效。对于安全从业者而言,理解这种策略演变,有助于更好地评估相关风险与应对措施。更多关于安全领域的深度讨论,欢迎访问 云栈社区 的相关板块。
发表于 3 小时前
|
查看: 4|
回复: 0
