Operation Leak: Η διεθνής επιχείρηση που έκλεισε το μεγαλύτερο ανοιχτό δίκτυο πώλησης κλεμμένων κωδικών

Σύνοψη

• Η συντονισμένη επιχείρηση «Operation Leak» από την Europol, το FBI και τις διωκτικές Αρχές 14 χωρών οδήγησε στο οριστικό κλείσιμο του cybercrime forum LeakBase στις 3 και 4 Μαρτίου 2026.
• Το LeakBase λειτουργούσε από το 2021 στον ανοιχτό ιστό (clearnet) και αριθμούσε πάνω από 142.000 εγγεγραμμένους χρήστες, αποτελώντας κεντρικό κόμβο αγοραπωλησίας κλεμμένων βάσεων δεδομένων και κωδικών πρόσβασης.
• Οι Αρχές προχώρησαν σε περίπου 100 στοχευμένες παρεμβάσεις παγκοσμίως, επικεντρώνοντας τις συλλήψεις και τις κατ' οίκον έρευνες στους 37 πιο ενεργούς χρήστες της πλατφόρμας.
• Η κατάσχεση των διακομιστών, των domains και της πλήρους βάσης δεδομένων του forum επιτρέπει πλέον την άμεση ταυτοποίηση χιλιάδων hackers που θεωρούσαν ότι δρουν υπό καθεστώς πλήρους ανωνυμίας.

Μια από τις μεγαλύτερες και πιο καλά οργανωμένες διεθνείς επιχειρήσεις δίωξης του ηλεκτρονικού εγκλήματος ολοκληρώθηκε με απόλυτη επιτυχία, οδηγώντας στην οριστική παύση λειτουργίας του LeakBase. Η πλατφόρμα, η οποία αποτελούσε ένα από τα δημοφιλέστερα ψηφιακά στέκια αγοραπωλησίας κλεμμένων δεδομένων παγκοσμίως, βρίσκεται πλέον υπό τον πλήρη έλεγχο των διωκτικών Αρχών.

Η επιχείρηση με την κωδική ονομασία «Operation Leak» πραγματοποιήθηκε το διήμερο 3 και 4 Μαρτίου 2026, υπό τον συντονισμό της Europol στη Χάγη, με την καθοριστική συμμετοχή του αμερικανικού FBI και υπηρεσιών επιβολής του νόμου από συνολικά 14 χώρες (συμπεριλαμβανομένων της Αυστραλίας, του Βελγίου, της Πολωνίας, της Πορτογαλίας, της Ρουμανίας, της Ισπανίας και του Ηνωμένου Βασιλείου). Το αποτέλεσμα ήταν η κατάσχεση της υποδομής του δικτύου, η δέσμευση των domains (όπως τα leakbase.la και leakbase.ws) και η σύλληψη βασικών μελών του.

Η ανατομία του LeakBase: Λειτουργία στον ανοιχτό ιστό

Σε αντίθεση με πολλά παραδοσιακά forum ηλεκτρονικού εγκλήματος που επιλέγουν την αφάνεια του Dark Web (μέσω δικτύων όπως το Tor), το LeakBase λειτουργούσε ανοιχτά στο clearnet. Ήταν προσβάσιμο μέσω τυπικών browsers, διέθετε αγγλόφωνο περιβάλλον χρήσης και λειτουργούσε ως ένας εξαιρετικά δομημένος πίνακας ανακοινώσεων και αγοραπωλησιών.

Η πλατφόρμα έκανε την εμφάνισή της το 2021 και γρήγορα γιγαντώθηκε. Σύμφωνα με τα επίσημα στοιχεία που έδωσε στη δημοσιότητα το Υπουργείο Δικαιοσύνης των ΗΠΑ και η Europol, μέχρι τον Δεκέμβριο του 2025 το LeakBase αριθμούσε 142.000 εγγεγραμμένους χρήστες. Στα χρόνια της λειτουργίας του είχαν δημοσιευτεί περίπου 32.000 αναρτήσεις και είχαν ανταλλαγεί πάνω από 215.000 ιδιωτικά μηνύματα.

Το κύριο «εμπόρευμα» του LeakBase ήταν τα stealer logs. Πρόκειται για τεράστια αρχεία που περιέχουν δεδομένα τα οποία έχουν υποκλαπεί μέσω κακόβουλου λογισμικού (infostealers) από μολυσμένους υπολογιστές ανυποψίαστων χρηστών. Αυτά τα αρχεία περιλαμβάνουν αποθηκευμένους κωδικούς πρόσβασης από browsers, cookies συνεδρίας, διαπιστευτήρια e-banking, αριθμούς πιστωτικών καρτών, καθώς και αρχεία από τοπικούς φακέλους. Η πρόσβαση σε αυτά τα δεδομένα επέτρεπε στους αγοραστές να πραγματοποιούν επιθέσεις takeover λογαριασμών, οικονομικές απάτες, εκβιασμούς και στοχευμένες επιθέσεις phishing.

Η οικονομία των credits και ο «ρωσικός κανόνας»

Η επιτυχία του LeakBase βασιζόταν σε μεγάλο βαθμό στο επιχειρηματικό του μοντέλο. Η πλατφόρμα χρησιμοποιούσε ένα εσωτερικό σύστημα νομισμάτων (credits), το οποίο οι χρήστες έπρεπε να αγοράσουν (συνήθως μέσω κρυπτονομισμάτων) για να ξεκλειδώσουν συνδέσμους λήψης για τις κλεμμένες βάσεις δεδομένων. Παράλληλα, διέθετε ένα αυστηρό σύστημα αξιολόγησης της φήμης (reputation system), μέσω του οποίου οι αγοραστές έκριναν την ποιότητα και την εγκυρότητα των δεδομένων που πωλούσαν οι διάφοροι hackers, διασφαλίζοντας έτσι ότι οι συναλλαγές μέσα στο φόρουμ είχαν υψηλό ποσοστό «επιτυχίας» για τους εγκληματίες.

Ένα από τα πιο ενδιαφέροντα στοιχεία της εσωτερικής λειτουργίας του forum ήταν η ρητή απαγόρευση πώλησης, δημοσίευσης ή διακίνησης δεδομένων που αφορούσαν ρωσικούς οργανισμούς, ρωσικές εταιρείες ή Ρώσους πολίτες. Ο συγκεκριμένος κανόνας αποτελεί κοινή πρακτική σε πλατφόρμες που διαχειρίζονται ομάδες κυβερνοεγκληματιών με έδρα τις χώρες της Κοινοπολιτείας Ανεξάρτητων Κρατών (CIS), καθώς οι διαχειριστές προσπαθούν να αποφύγουν την προσοχή των τοπικών διωκτικών αρχών (όπως η FSB).

Η επιχείρηση «Operation Leak» και το τέλος της ανωνυμίας

Η αποδόμηση του LeakBase πραγματοποιήθηκε σε δύο φάσεις. Στις 3 Μαρτίου, οι αστυνομικές δυνάμεις παγκοσμίως εκτέλεσαν πάνω από 100 συντονισμένες παρεμβάσεις. Αυτές περιλάμβαναν εντάλματα σύλληψης, κατ' οίκον έρευνες και επισκέψεις σε σπίτια υπόπτων (η τακτική του «knock-and-talk», όπου οι Αρχές προειδοποιούν άτομα χαμηλότερου προφίλ). Στο στόχαστρο μπήκαν οι 37 πιο ενεργοί πωλητές και διαχειριστές της πλατφόρμας, οι οποίοι ευθύνονταν για τη διακίνηση του μεγαλύτερου όγκου των κλεμμένων δεδομένων.

Την επόμενη ημέρα, 4 Μαρτίου, ξεκίνησε το τεχνικό σκέλος της επιχείρησης. Οι Αρχές έθεσαν υπό τον έλεγχό τους τους διακομιστές του LeakBase, αντικαθιστώντας τις αρχικές σελίδες των domains με το επίσημο banner κατάσχεσης του FBI και της Europol.

Το πιο κρίσιμο, ωστόσο, χτύπημα για τους εγκληματίες δεν είναι το κλείσιμο της ιστοσελίδας, αλλά η κατάσχεση ολόκληρης της βάσης δεδομένων του ίδιου του forum. Το FBI και η Europol έχουν πλέον στα χέρια τους τα usernames των 142.000 εγγεγραμμένων μελών, τις διευθύνσεις IP τους, τα ιδιωτικά τους μηνύματα, τα αρχεία καταγραφής δραστηριότητας και, κυρίως, τα στοιχεία πληρωμών (πορτοφόλια κρυπτονομισμάτων) που χρησιμοποιήθηκαν για την αγορά των credits. Η διαδικασία απο-ανωνυμοποίησης (deanonymization) έχει ήδη ξεκινήσει.

Όπως δήλωσε χαρακτηριστικά ο Edvardas Šileris, Επικεφαλής του Ευρωπαϊκού Κέντρου Κυβερνοεγκλήματος της Europol: «Αυτή η επιχείρηση αποδεικνύει ότι καμία γωνιά του διαδικτύου δεν βρίσκεται εκτός της εμβέλειας των διεθνών αρχών επιβολής του νόμου. Αυτό που ξεκίνησε ως ένα σκοτεινό φόρουμ για κλεμμένα δεδομένα έχει πλέον εξαρθρωθεί, και όσοι πίστευαν ότι μπορούσαν να κρυφτούν πίσω από την ανωνυμία, τώρα ταυτοποιούνται και λογοδοτούν». Από την πλευρά του, ο Brett Leatherman, Βοηθός Διευθυντής του Τμήματος Κυβερνοασφάλειας του FBI, τόνισε τη σημασία της συλλογής αποδεικτικών στοιχείων μέσω των ιδιωτικών μηνυμάτων και των IP logs που κατασχέθηκαν.

Το ντόμινο των διώξεων

Το τέλος του LeakBase προστίθεται σε μια μεγάλη αλυσίδα επιτυχημένων επιχειρήσεων εναντίον αντίστοιχων αγορών τα τελευταία χρόνια. Η αρχή έγινε το 2022 με το κλείσιμο του RaidForums, ενώ ακολούθησε η εξάρθρωση του BreachForums το 2023 (και η μετέπειτα καταδίκη του ιδρυτή του το 2025). Το κενό που άφησαν αυτά τα τεράστια δίκτυα επιχείρησε να καλύψει το LeakBase, προσελκύοντας όσους hackers αναζητούσαν ένα νέο ψηφιακό σημείο πώλησης.

Η διαρκής εμφάνιση νέων πλατφορμών επιβεβαιώνει την τεράστια ζήτηση που υπάρχει στην αγορά του κυβερνοεγκλήματος για έτοιμα πακέτα δεδομένων, τα οποία διευκολύνουν επιθέσεις ransomware και βιομηχανικής κατασκοπείας. Οι εγκληματίες δεν χρειάζεται πλέον να διαθέτουν προηγμένες τεχνικές γνώσεις για να παραβιάσουν ένα δίκτυο· αρκεί να αγοράσουν τα έτοιμα διαπιστευτήρια που έχει υποκλέψει κάποιος άλλος μέσω ενός infostealer.

Οι προσπάθειες των Αρχών εισέρχονται πλέον στη λεγόμενη «φάση πρόληψης». Η ανάλυση των εκατομμυρίων κλεμμένων κωδικών που βρέθηκαν στους διακομιστές του LeakBase θα επιτρέψει στις υπηρεσίες κυβερνοασφάλειας να ενημερώσουν τις θιγόμενες εταιρείες και τους πολίτες παγκοσμίως, αποτρέποντας μελλοντικές παραβιάσεις.

Με τη ματιά του Techgear

Η πτώση του LeakBase αναδεικνύει μια εξαιρετικά επικίνδυνη τάση: το κυβερνοέγκλημα δεν χρειάζεται πλέον το Dark Web για να ανθίσει. Το γεγονός ότι μια πλατφόρμα με 142.000 μέλη λειτουργούσε ανενόχλητη στον ανοιχτό ιστό για τέσσερα χρόνια, με δικό της σύστημα αξιολόγησης και υποστήριξη πελατών, δείχνει την πλήρη εμπορευματοποίηση των δεδομένων μας.

Για την ελληνική πραγματικότητα, τέτοιες ειδήσεις δεν είναι απλώς ειδήσεις του εξωτερικού. Τα "stealer logs" δεν κάνουν γεωγραφικές διακρίσεις. Μολυσμένοι υπολογιστές στην Ελλάδα τροφοδοτούν καθημερινά τέτοιες πλατφόρμες με κωδικούς πρόσβασης από ελληνικές τράπεζες, εταιρικά email και λογαριασμούς κοινωνικών δικτύων. Όταν οι κωδικοί αυτοί πωλούνται μαζικά, ανοίγει ο δρόμος για περιστατικά απάτης που βλέπουμε συχνά να καταγγέλλονται στη χώρα μας.

Η κατάσχεση της βάσης δεδομένων από το FBI και την Europol είναι το πιο ηχηρό μήνυμα της υπόθεσης: η ανωνυμία στο διαδίκτυο είναι μια ψευδαίσθηση. Οι διαχειριστές και οι αγοραστές του LeakBase ξυπνούν σήμερα γνωρίζοντας ότι οι διευθύνσεις IP και τα κρυπτογραφικά τους ίχνη βρίσκονται στα χέρια των εγκληματολογικών εργαστηρίων. Για τους απλούς χρήστες, το μάθημα παραμένει ένα και αδιαπραγμάτευτο: ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων (2FA) παντού, χρήση ισχυρών passkeys και καμία αποθήκευση κρίσιμων κωδικών σε απλά text files ή στον browser χωρίς master password.