YggTorrent ferme ses portes après un énorme piratage (YGGLeak)
Technologies
0 Commentaires

YggTorrent ferme ses portes après un énorme piratage (YGGLeak)

C’est la fin d’une histoire : YggTorrent, le plus gros site de torrents francophone, ferme ses portes. « Fermeture définitive » , peut-on lire sur le tracker. Cela fait suite à un énorme piratage qui a pour nom YGGLeak.

Fermeture de YggTorrent après le hack YGGLeak

Le hack a permis à un hacker, qui a pour pseudo Gr0lum, d’avoir infiltré l’ensemble du système, d’avoir exfiltré plusieurs Go de données internes, puis d’avoir vidé complètement les serveurs. L’ampleur réelle de la compromission reste à confirmer de manière indépendante, mais les éléments publiés en font l’une des fuites les plus importantes jamais liées à un tracker francophone. Une archive pesant près de 11 Go avec toutes les données est disponible au téléchargement.

Les données revendiquées couvrent un spectre très large :

base utilisateurs avec 6,6 millions de comptes (adresses e-mail, identifiants, hashs de mots de passe, adresses IP, historiques de navigation)

bases du tracker, du forum et de la boutique

code source complet du site

architecture serveurs

logs techniques

données financières et échanges internes des administrateurs

Le pirate précise avoir masqué certaines informations sensibles avant toute publication publique. Il écrit :

Aucune information sur les utilisateurs (adresses IP, emails, mots de passe) ne sera accessible ici. Hélas pour l’ARCOM, je garde ça bien au chaud. D’ailleurs Oracle, la moitié des hash sont encore en md5, c’est pas sérieux l’ami.

Le hacker n’a pas apprécié les pratiques de YggTorrent

Mais pourquoi un leak de YggTorrent aussi énorme ? Le hacker Gr0lum fait notamment allusion au mode Turbo payant qui a fait ses débuts en décembre. Ceux qui ne payaient pas avaient une limite de téléchargement de 5 torrents par jour. Il écrit :

Près de 10 millions d’euros de recettes pour 2024-2025 ne vous ont pas suffi. Vous avez imposé votre mode « Turbo » de merde pour racketter quiconque voulait télécharger plus de cinq fichiers par jour. En profitant de votre monopole, vous avez pris les gens en otage avec un système de quota ridicule. Beaucoup ont payé, comme le montrent clairement vos chiffres de janvier et février. Après le départ massif des équipes d’uploadeurs, vous auriez pu vous remettre en question. Au lieu de ça, vous avez choisi la censure et les bannissements.

Alors que vos équipes de modérateurs bossent bénévolement pour faire tourner le site, vous continuez d’amasser une véritable fortune sur leur dos. Francisco depuis le Maroc et Vladimir depuis la France, vous avez exploité la naïveté de personnes qui croyaient en un projet de partage libre, désintéressé et communautaire.

Pendant des années, vous avez utilisé des méthodes de crapules : DDoS contre les trackers concurrents, purges d’uploadeurs dès qu’ils ouvraient la bouche, sabotage de votre propre API pour empêcher quiconque d’utiliser des outils tiers. Mais le plus intéressant, c’est ce qu’on trouve dans le code source, n’est-ce pas, Oracle ? Tu enregistres les 54 776 cartes bancaires de tes membres ? Pour en faire quoi, exactement ? Le tracking comportemental de chaque visiteur, c’est pour quel usage ? Et le fingerprinting des wallets crypto, tes utilisateurs sont au courant ? Les scans de CNI volées que tu utilises pour payer les serveurs, tu es à l’aise avec ça ?

Un piratage en plusieurs étapes

La brèche initiale ne repose pas sur une faille technique complexe, mais sur une succession d’erreurs élémentaires de configuration. Un service SphinxQL exposé sur Internet sans authentification a permis de lire des fichiers locaux sur le serveur, dont un fichier Windows contenant le mot de passe administrateur en clair. Depuis ce point d’entrée, le hacker a rebondi vers plusieurs serveurs de l’infrastructure, jusqu’au tracker principal et aux bases de données de production. Il a alors eu un contrôle complet.

L’accès aux systèmes de paiement est particulièrement notable. Le pirate affirme avoir atteint la base du forum, la boutique WooCommerce et ses plus de 89 000 commandes, ainsi que plusieurs processeurs et passerelles de paiement avec leurs logs de transactions. Des systèmes de rotation de domaines ont été utilisés pour masquer l’origine des transactions.

L’infrastructure des serveurs de YggTorrent

Énormément de détails techniques sont disponibles au sujet du piratage de YggTorrent, elles sont à retrouver sur cette page.

Le dossier révèle l’ampleur financière de l’opération de YggTorrent : plus de 249 000 commandes, près de 100 000 payeurs uniques et entre 5 et 8,5 millions d’euros de chiffre d’affaires estimés sur la période 2024-2025, avec un pic revendiqué de 490 000 euros de revenus sur un seul mois. Ces revenus ont été convertis en cryptomonnaies avant d’être redistribués via différents services et portefeuille (wallets).

Tous les torrents ont été récupérés

Malgré la destruction des serveurs, Gr0lum annonce avoir sauvegardé le catalogue complet des torrents grâce à l’aide de l’équipe du projet U2P. Les torrents ont été remis en ligne sur ygg.gratis. Le hacker a trouvé un moyen pour que les utilisateurs qui partageaient (seedaient) déjà les fichiers sur YggTorrent puissent continuer à le faire via ygg.gratis sans qu’ils aient besoin de modifier quoi que ce soit au niveau de leur client torrent. Une redirection automatique a eu lieu au niveau de l’URL.

Bien sûr, l’affaire pourrait attirer l’attention des autorités, compte tenu de l’ampleur du site, du nombre d’utilisateurs concernés et des données financières désormais exposées. De plus, les ayants droit doivent être ravis de la fermeture de YggTorrent, étant donné qu’il s’agit du plus gros tracker francophone.

Source de l’article : KultureGeek

Laisser un commentaire

Articles connexes

À LIRE AUSSI