文章总结： 报告分析暗网BF论坛1200名VIP用户泄露数据，含95个中国ID。泄露含明文密码及IP，存在撞库与追踪风险。分析发现VIP标准不明，发帖呈幂律分布且IP归属存疑。结论指出访问暗网风险极高，建议相关用户警惕账户滥用并保持高度警醒。 综合评分： 82 文章分类： 数据泄露,威胁情报,安全意识

疑BF论坛1200个VIP用户数据库披露：涉95个属于CN的ID

原创

网空闲话 网空闲话

网空闲话plus

2026年1月18日 08:35 北京

2026年1月17日，暗网监测发现一份自称来自BF论坛（BreachForums）的SQL文件泄露，宣称覆盖11个国家共1200名VIP用户数据，其中中国被明确列出，涉及95名用户。泄露字段包括用户ID、用户名、密码（明文存储）、等级、在线时长、发帖数量、国家及最后登录IP等16项关键信息。由于泄露者未声明VIP用户评定标准（如基于在线时长、发帖量或等级），无法确认VIP身份的可靠性。

此前已有消息称BF论坛的所有用户信息均已泄露，此番1200个VIP用户疑是从全量泄露库中遴选。无论事实如何，此次泄露会引发说这么诸多风险。

首先，密码明文泄露极易引发撞库攻击，威胁用户跨平台账户安全；其次，IP地址与国家关联暴露物理位置，增加追踪风险；中国用户涉入需警惕境内黑产利用。VIP标准缺失进一步放大隐患——所谓VIP可能基于未公开规则（如高发帖量或特定级别），数据真伪难辨，不排除伪造数据库以误导分析或制造恐慌。

VIP用户总体分布

VIP用户数量超过100的就有四个，俄罗斯有134个，巴西有114个，德国109，波兰106。其余8个国家的都在88-97之间，中国有95个用户。尽管泄露者也不有声明识别出用户所属国家的标志。据统计，这1200名用户里，有重复计数的情况，所以真正的有效ID应该少于1200。

| | | | | — | — | — | | 国家 | 计数 | 占比 | | BR | 114 | 10.2% | | CN | 95 | 8.5% | | DE | 109 | 9.7% | | FR | 97 | 8.7% | | ID | 94 | 8.4% | | IN | 88 | 7.9% | | IR | 94 | 8.4% | | PL | 106 | 9.5% | | RU | 134 | 12.0% | | TR | 93 | 8.3% | | US | 96 | 8.6% |

所谓中国用户在线时长分布

在线时长（正常理解应该是累计的在线时间）分布统计：半小时以下：36人（37.9%）；半小时至1小时：14人（14.7%）；1小时至3小时：22人（23.2%）； 3小时以上：23人（24.2%）。主要发现：

短期在线用户最多：半小时以下的用户占比最高（37.9%），说明有相当一部分用户只是短暂访问

长期活跃用户稳定：3小时以上的用户占比24.2%，表明有近四分之一的用户是重度使用者

中等时长用户分布均匀：1-3小时和30分钟-1小时的用户比例相近，分别占23.2%和14.7%

这个分布呈现出两极分化的特点，既有大量短暂访问的用户，也有相当数量的深度用户，中间时长的用户相对较少。

所谓中国用户发帖子数量分布

对泄露数据中的归属于CN的用户的发帖数量进行统计分析发现，可以看到total_posts（总发帖数）的明显特征。

零发帖用户最多：有32个用户发帖数为0，即没有发布任何回复，占比最高；

低活跃度用户：发帖数1-5帖的用户较多（1帖18人、2帖11人、3帖8人、4帖7人、5帖2人）；

中等活跃用户：发帖数6-16帖的用户相对较少（6帖2人、8帖2人、10帖3人、11帖2人、12-14帖各1人）；

高活跃用户：存在几个异常活跃用户（16帖1人、26帖1人、27帖1人、28帖1人、91帖1人）；发帖最多的用户ID为77akar00v，注册邮箱为[email protected]（查询另外一个库得到），但其行为模式异常。在线时长仅1小时44分钟，响应时间1.68秒，表明高效但短暂的活动；主题数为0，说明用户仅回复而非创建内容，结合等级和头衔均为“Breached”（可能表示账户已遭入侵），声望值、邀请成员数均为0，提示账户或已被第三方滥用。IP地址31.226.XXX.185虽标注为CN，但VPN等因素使物理位置不可靠。

用户发帖行为呈现典型的幂律分布特征，绝大多数用户（约50+）发帖数在5帖以下，只有极少数用户（约10人）发帖数超过10帖，存在明显的”二八定律”现象 – 少数用户贡献了大部分内容。

需要说明的是，经比对Resecurity公司发布的那个泄露库（Resecurity正在共享已获取的网络犯罪论坛数据库，供进一步下载和独立分析。不建议从任何其他来源（尤其是暗网）下载此数据库，因为它可能包含恶意代码。该数据库包含323,986位用户的元数据，这些数据提取自MySQL数据库表，该表与开源论坛软件MyBB相关），所谓1200个用户的VIP库与这个全量库格式不完全一致，VIP库没有邮箱，而这个323986个用户的库里没有IP。但简单验证有相同的用户。

Resecurity分析的这个用户库里，归属为CN的用户排名大概在87位，数量相对较少。

所谓中国用户IP地址归属分布

IP地址归属国家统计分析发现，IP归属地主要为美国、中国、德国、韩国、法国、巴西、意大利等。其中美国以49个IP地址位居首位，占总数的51.6%；中国以8个IP地址位居第二，占比8.4%。其他主要国家：德国（5个）、韩国（4个）、法国（3个）、巴西（3个）、意大利（3个）。

异常数据：有7个IP地址的国家字段显示为”0″，可能是数据缺失或内网IP。

中国IP地址详细分析：8个IP地址分布在6个不同地区。北京市：2个IP地址；苏州市、深圳市、厦门市、贵阳市：各1个IP地址。

另有2个IP地址城市信息缺失（显示为”0″）。

运营商情况：涉及电信（3个）、远传电信、阿里巴巴、联通等不同运营商。

据此可见，泄露数据中字段“国家”的确定，并不是用IP归属地确定的。

结论

目前的初步分析尚不能得出多少确定性的结论。无论如何，访问这个泄露论坛或者众多暗网论坛，是一件高风险的事。对于被标识为CN的用户，无论多少，无论真假，在人眼皮低下，总不是好事，该当心了！已经被泄露的，还是已注册其它暗网论坛的用户，时刻保持警醒和警惕是必须的。

参考资源

1、TG频道

2、https://www.resecurity.com/blog/article/doomsday-for-cybercriminals-data-breach-of-major-dark-web-foru

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《疑BF论坛1200个VIP用户数据库披露：涉95个属于CN的ID》