DarkForums: Promessa de Anonimato Quebrada por IP Exposto em Chat Privado
O serviço de chat privado do DarkForums, que prometia anonimato aos seus usuários, foi exposto por um simples escaneamento de infraestrutura. A falta de ocultação do endereço IP público revelou a localização do servidor e outros detalhes, comprometendo a privacidade.
MundiX News·22 de junho de 2026·4 min de leitura·👁 1 views
A promessa de anonimato feita pelo DarkForums foi desfeita pela mais básica das verificações de infraestrutura. Mesmo serviços criados para comunicação restrita podem se trair não pelo conteúdo das mensagens, mas pela sua própria arquitetura de rede. Analistas da Covert Security descobriram que o servidor Jabber da comunidade DarkForums não opera como um serviço oculto Tor, mas sim através de um endereço IP público comum, acessível por ferramentas padrão de busca de infraestrutura na internet.
O DarkForums promove seu serviço XMPP proprietário como um canal privado para os membros do fórum. Durante o registro, os usuários são apresentados a dois domínios, darked.im e darkforums.im, sem que seja esclarecido que suas infraestruturas são distintas. Uma verificação através do Censys revelou que ambos os domínios apontam para o mesmo endereço IP: 172.234.115.5. O servidor opera na infraestrutura da Linode, parte da Akamai Connected Cloud, e sua geolocalização indica Estocolmo. No mesmo endereço, são visíveis portas SSH, HTTP, HTTPS e várias portas XMPP. A resposta do servidor web via HTTPS aponta para o serviço Darked.IM para a comunidade DarkForums, permitindo a associação do endereço ao servidor Jabber sem a necessidade de exploits ou sondagens ativas do serviço.
Embora a criptografia XMPP possa proteger o conteúdo das mensagens, ela não oculta a infraestrutura subjacente. Um observador no nível de rede pode detectar a conexão com o servidor, a frequência das interações, a duração das sessões e outros metadados. Para um serviço que promete proteção contra vigilância, essa discrepância entre o anonimato declarado e o esquema de hospedagem real representa um risco significativo para os usuários. Uma verificação de DNS também identificou um serviço XMPP público, xmpp.sg, no mesmo IP, que não possui ligação aparente com o DarkForums. Além disso, um subdomínio jdrtyipau.er18.mobi ainda aponta para o endereço. O domínio principal er18.mobi expirou e está listado para venda em um registrador chinês, o west.cn, e o registro DNS do subdomínio parece ter permanecido em uma configuração antiga. A Covert Security não tira conclusões sobre a natureza dessa conexão, mas considera o registro um motivo para observação contínua.
Os autores enfatizam que não se trata de uma vulnerabilidade XMPP ou de uma falha de criptografia. O endereço foi encontrado através de dados públicos de DNS e Censys, sem tentativas de invadir o servidor. Para mitigar riscos em casos semelhantes, não basta apenas criptografar as conversas, mas também ocultar a infraestrutura, segregar serviços públicos, gerenciar registros de DNS e evitar hospedar nós de comunicação privada em endereços de nuvem visíveis para scanners.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A promessa de anonimato feita pelo DarkForums foi desfeita pela mais básica das verificações de infraestrutura. Mesmo serviços criados para comunicação restrita podem se trair não pelo conteúdo das mensagens, mas pela sua própria arquitetura de rede. Analistas da Covert Security descobriram que o servidor Jabber da comunidade DarkForums não opera como um serviço oculto Tor, mas sim através de um endereço IP público comum, acessível por ferramentas padrão de busca de infraestrutura na internet.
O DarkForums promove seu serviço XMPP proprietário como um canal privado para os membros do fórum. Durante o registro, os usuários são apresentados a dois domínios, darked.im e darkforums.im, sem que seja esclarecido que suas infraestruturas são distintas. Uma verificação através do Censys revelou que ambos os domínios apontam para o mesmo endereço IP: 172.234.115.5. O servidor opera na infraestrutura da Linode, parte da Akamai Connected Cloud, e sua geolocalização indica Estocolmo. No mesmo endereço, são visíveis portas SSH, HTTP, HTTPS e várias portas XMPP. A resposta do servidor web via HTTPS aponta para o serviço Darked.IM para a comunidade DarkForums, permitindo a associação do endereço ao servidor Jabber sem a necessidade de exploits ou sondagens ativas do serviço.
Embora a criptografia XMPP possa proteger o conteúdo das mensagens, ela não oculta a infraestrutura subjacente. Um observador no nível de rede pode detectar a conexão com o servidor, a frequência das interações, a duração das sessões e outros metadados. Para um serviço que promete proteção contra vigilância, essa discrepância entre o anonimato declarado e o esquema de hospedagem real representa um risco significativo para os usuários. Uma verificação de DNS também identificou um serviço XMPP público, xmpp.sg, no mesmo IP, que não possui ligação aparente com o DarkForums. Além disso, um subdomínio jdrtyipau.er18.mobi ainda aponta para o endereço. O domínio principal er18.mobi expirou e está listado para venda em um registrador chinês, o west.cn, e o registro DNS do subdomínio parece ter permanecido em uma configuração antiga. A Covert Security não tira conclusões sobre a natureza dessa conexão, mas considera o registro um motivo para observação contínua.
Os autores enfatizam que não se trata de uma vulnerabilidade XMPP ou de uma falha de criptografia. O endereço foi encontrado através de dados públicos de DNS e Censys, sem tentativas de invadir o servidor. Para mitigar riscos em casos semelhantes, não basta apenas criptografar as conversas, mas também ocultar a infraestrutura, segregar serviços públicos, gerenciar registros de DNS e evitar hospedar nós de comunicação privada em endereços de nuvem visíveis para scanners.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
