W dniach 3–4 marca 2026 roku organy ścigania z 14 państw przeprowadziły skoordynowaną operację, która doprowadziła do likwidacji LeakBase — jednego z największych na świecie forów internetowych służących cyberprzestępcom do handlu skradzionymi danymi oraz narzędziami hakerskimi. Operacja, koordynowana przez Europol z siedzibą w Hadze, nosi kryptonim „Operation Leak”.
Czym był LeakBase?
LeakBase funkcjonował od 2021 roku jako anglojęzyczny serwis dostępny w otwartym internecie — nie wymagał specjalistycznego oprogramowania ani anonimizacji, by uzyskać do niego dostęp. Europol określił platformę mianem „centralnego węzła w ekosystemie cyberprzestępczości”, specjalizującego się w bazach danych z wycieków oraz tzw. stealer logs, czyli plikach zbieranych przez złośliwe oprogramowanie infekujące komputery ofiar.
Według danych zawartych w odtajnionym przez Departament Sprawiedliwości USA dokumencie sądowym, forum liczyło ponad 142 000 zarejestrowanych użytkowników i gromadziło ponad 215 000 prywatnych wiadomości. Na platformie dostępne były dziesiątki tysięcy postów z ofertami skradzionych danych — w tym setki milionów danych logowania, numery kart płatniczych, dane bankowe oraz informacje umożliwiające przejęcie kont internetowych. Serwis oferował m.in. rynek sprzedaży wycieków, exploitów i innych usług przestępczych, a także system depozytowy (escrow) dla kupujących i sprzedających. Jednym z charakterystycznych regulaminowych zakazów obowiązujących na forum był zakaz publikowania i sprzedaży danych dotyczących Rosji.
LeakBase powstał jako projekt wspierany przez grupę przestępczą ARES i z czasem przejął znaczną część użytkowników po zamknięciu poprzedniego forum — Breached.
Przebieg operacji
Zgodnie z komunikatem Departamentu Sprawiedliwości USA, 3 marca organy ścigania przeprowadziły skoordynowane działania egzekucyjne w wielu jurysdykcjach jednocześnie — dokonując aresztowań, przeszukań oraz tzw. knock-and-talk, czyli rozmów ostrzegawczych z podejrzanymi. Europol podał, że łącznie przeprowadzono około 100 działań egzekucyjnych na świecie, a środki podjęto wobec 37 najbardziej aktywnych użytkowników platformy.
4 marca nastąpiła faza techniczna: zajęto domeny serwisu, zastępując je stronami informacyjnymi organów ścigania. Jednocześnie do członków forum wysłano wiadomości prewencyjne, a zebrane dane — w tym adresy IP, prywatne korespondencje i profile użytkowników — zostały zabezpieczone dla celów dowodowych.
Nakazy sądowe wydały zarówno sąd w Niemczech, jak i Sąd Okręgowy Stanów Zjednoczonych dla Dystryktu Utah. Krajowe działania w USA prowadzone były przez Biuro Terenowe FBI w Salt Lake City (które prowadzi śledztwo główne) oraz Biuro Terenowe FBI w San Diego, Departament Bezpieczeństwa Publicznego stanu Utah i Departament Policji Provo.
Przeszukania, aresztowania i przesłuchania odbyły się w Stanach Zjednoczonych, Australii, Belgii, Polsce, Portugalii, Rumunii, Hiszpanii i Wielkiej Brytanii. Znaczące wsparcie zapewniły organy ścigania z Australii, Belgii, Kanady, Niemiec, Grecji, Kosowa, Malezji, Holandii, Polski, Portugalii, Rumunii, Hiszpanii i Wielkiej Brytanii. Zgodnie z informacją źródłową Europolu, łącznie przeprowadzono 13 aresztowań, 32 przeszukania i 33 przesłuchania podejrzanych.
Co powiedziały władze?
„Likwidacja tego cyberforum zakłóca działanie ważnej międzynarodowej platformy, z której cyberprzestępcy korzystali, by uzyskiwać i czerpać zyski z kradzieży wrażliwych danych osobowych, bankowych i uwierzytelniających” — oświadczył zastępca prokuratora generalnego A. Tysen Duva z Wydziału Kryminalnego Departamentu Sprawiedliwości USA.
Edvardas Šileris, szef Europejskiego Centrum ds. Cyberprzestępczości Europolu, podkreślił: „Żaden zakątek internetu nie jest poza zasięgiem międzynarodowych organów ścigania. To, co zaczęło się jako mroczne forum dla skradzionych danych, zostało teraz zlikwidowane”.
Brett Leatherman, zastępca dyrektora Wydziału Cybernetycznego FBI, zaznaczył: „FBI, Europol i organy ścigania z całego świata przeprowadziły likwidację LeakBase — jednej z największych internetowych platform przestępczych — przejmując konta użytkowników, posty, dane kart płatniczych, prywatne wiadomości oraz logi IP na potrzeby dowodowe. Wspólnie z naszymi partnerami wysyłamy komunikat, że żaden przestępca nie jest naprawdę anonimowy w sieci”.
Kontekst i znaczenie operacji
Likwidacja LeakBase wpisuje się w serię skutecznych operacji wymierzonych w infrastrukturę handlu skradzionymi danymi. Departament Sprawiedliwości USA przypomniał, że poprzednie podobne platformy — RaidForums — zostały rozbite w 2022 roku, BreachForums w 2023 roku, a założyciel BreachForums skazany i ponownie wyrokowany w 2025 roku.
Eksperci ds. cyberbezpieczeństwa zwracają uwagę, że skala przejętych danych czyni tę operację szczególnie istotną z punktu widzenia bezpieczeństwa milionów zwykłych użytkowników internetu. Skradzione dane z takich platform trafiają nie tylko do większych grup przestępczych, lecz są też rutynowo wykorzystywane do phishingu, przejęć kont, oszustw bankowych i ataków ransomware na firmy oraz instytucje publiczne.
Organy ścigania weszły w posiadanie pełnych baz danych forum — łącznie z historią wiadomości prywatnych i adresami IP użytkowników. Oznacza to, że postępowania wobec dotychczasowych członków serwisu mogą się toczyć jeszcze przez wiele miesięcy.
Źródła
- Departament Sprawiedliwości USA (DOJ), komunikat prasowy z 4 marca 2026: United States Leads Dismantlement of One of the World’s Largest Hacker Forums — justice.gov
- Europol, komunikat prasowy z 4 marca 2026: Major data leak forum dismantled in global action against cybercrime forum — europol.europa.eu
