Internationale Operation zerlegt das LeakBase-Forum für den Handel mit gestohlenen Daten

• Internationale Strafverfolgungsbehörden zerlegen das LeakBase-Forum, das zum Online-Tausch gestohlener Zugangsdaten genutzt wurde.
• Die Behörden beschlagnahmen Datenbanken und identifizieren Verdächtige nach einer weltweiten Operation gegen Cybercrime-Nutzer.
• LeakBase beherbergte seit dem Start im Jahr 2021 142.000 Nutzer, die Datenverletzungen und Diebstahl-Logs tauschten.

Behörden aus den Vereinigten Staaten und mehrere internationale Partner haben LeakBase geschlossen, ein Online-Forum, das von Cyberkriminellen häufig zum Handel mit gestohlenen Daten genutzt wird. Die Festnahme folgte auf eine von Europol geführte Operation und wurde zwischen dem 3. und 4. März in mehreren Ländern durchgeführt.

Die Ermittler richteten sich auf die Infrastruktur der Plattform und ihre aktivsten Nutzer und störten damit einen Marktplatz, der seit 2021 offen im Internet betrieben und große Mengen kompromittierter Zugangsdaten sowie kompromittierte Datenbanken beherbergte.

Strafverfolgungsbehörden führten während der operativen Phase Festnahmen, Durchsuchungen und Ermittlungsmaßnahmen durch, die sich darauf konzentrierten, Personen mit der Plattform in Verbindung zu bringen. Am 4. März beschlagnahmten die Behörden die Domain des Forums und ersetzten sie durch eine Mitteilung der Strafverfolgungsbehörden, wodurch der Zugang zum Dienst effektiv entzogen wurde.

Forum hostete großes Archiv kompromittierter Daten

LeakBase fungierte als Marktplatz, auf dem Cyberkriminelle gestohlene Informationen kaufen, verkaufen und austauschen konnten. Das Forum spezialisierte sich auf gehackte Datenbanken und „Stealer Logs“, also Sammlungen von Benutzernamen, Passwörtern und anderen Zugangsdaten, die durch Infostealer-Malware gesammelt wurden.

Ermittler sagten, die Plattform speichere ein umfangreiches Archiv kompromittierter Daten, darunter historische Sicherheitspannen und neu gewonnene Datensätze. Die Informationen wurden häufig für Kontoübernahmen, Online-Betrug und zusätzliche Cyber-Eindringlinge verwendet.

Das Forum arbeitete auf Englisch und war über das offene Web zugänglich. Das interne System nutzte Credits und Reputationswerte, um Transaktionen zwischen Nutzern zu verwalten und Vertrauen in der Community der Plattform aufzubauen.

Bis Dezember 2025 hatte LeakBase mehr als 142.000 registrierte Nutzer. Die Aufzeichnungen der Plattform zeigten etwa 32.000 Beiträge und mehr als 215.000 private Nachrichten, die zwischen den Teilnehmern ausgetauscht wurden.

Globale Durchsetzungsmaßnahmen richten sich an Schlüsselnutzer

Die Behörden führten während der Ermittlungen weltweit rund 100 Durchsetzungsmaßnahmen durch. Zu den Maßnahmen gehörten Festnahmen, Hausdurchsuchungen und „Klopf-und-Reden“-Besuche gegen Verdächtige, die als aktiv im Forum gelten.

Die Strafverfolgungsbehörden konzentrierten sich auf 37 Personen, die als einige der aktivsten Nutzer der Plattform identifiziert wurden. Die Ermittler beschlagnahmten außerdem die Datenbank des Forums, die es den Behörden ermöglichte, mehrere Teilnehmer zu identifizieren, die versucht hatten, online anonym zu bleiben.

Europol koordiniert internationale Ermittlungen

Europol unterstützte die Operation, indem es die Infrastruktur des Forums und die Nutzeraktivitäten analysierte. Analysten verglichen die Daten mit laufenden Ermittlungen, um Verbindungen zwischen Verdächtigen, Opfern und digitalen Beweismitteln in verschiedenen Rechtsgebieten zu identifizieren.

Ein operativer Datensprint im Europol-Hauptquartier in Den Haag brachte Spezialisten zusammen, um beschlagnahmtes Material zu analysieren und Ermittlungsspuren zu identifizieren. Ein Data Scientist arbeitete mit Ermittlern zusammen, um Millionen von Datenpunkten von der Plattform zu organisieren und zu extrahieren.

Verwandt: Betrüger nutzen Australiens ‚ReportCyber‘-Portal aus, um sich als Polizist auszugeben und Krypto zu stehlen