@Workshop c’est un service assez incroyable pour les infos qu’il est capable de donner, mais il faut payer pour l’utiliser.
Torrent user
Ils surfent sur les vagues magnétiques du partage et naviguent à travers les flots du P2P, toujours à la recherche du ratio parfait. Leur devise : "Un bon torrent ne meurt jamais, il se partage à l’infini"
Messages
-
YGG Leak -
YGG LeakJ’étais pas encore allé au bout de la lecture, hallucinant les fautes de sécurité digne d’un débutant.
Comment il a fait pour tenir 9 ans avant de se faire péter ? Destroy a vraiment eu une chance pas possible.Élément Valeur Username AdministratorPassword &)d(5Hj46B7h5^fQF^c(yKYRPWindows Defender DÉSACTIVÉ ( DisableAntiSpyware=true)Le mot de passe administrateur du serveur. En clair. Dans un fichier que n’importe qui pouvait lire via SphinxQL.
La partie “hack” est terminée. Tout ce qui suit est de la post-exploitation.
Phase 7 — Accès total
SMB C$
smbclient //188.253.108.198/C$ \ -U 'Administrator%&)d(5Hj46B7h5^fQF^c(yKYRP' \ --option='client min protocol=SMB2'Accès confirmé. Lecture et écriture sur l’intégralité du disque
du serveur Windows. RDP et WinRM également fonctionnels.À partir de là, accès complet au serveur de pré-prod de YGGtorrent, celui où tout le code est testé avant déploiement en production.
À partir de là, accès complet au serveur de pré-prod de YGGtorrent, celui où tout le code est testé avant déploiement en production.Les logs systeme confirment ce que le scan nmap laissait deviner :
Windows Firewall désactivé (Private et Public OFF)
Windows Defender absent ou désactivé
50 tentatives de login échouées en 2 minutes, provenant de 21 IPs uniques, un botnet brute-force permanent sur cette machine
6 IPs VPN/proxy différentes connectées en RDP entre le 15 et le 21 février, toutes en tant qu’Administrator
Une session RDP active depuis 146.59.181.110 (OVH) au moment du scan initial (découverte étrange puisqu’après quelques scan il s’agirait d’un serveur appartenant à agralis.fr. J’ai pas cherché plus loin que ça) -
YGG Leak -
YGG Leak@Workshop à mon avis ça fait quelques semaines qu’il était infiltré sur les serveurs d’Ygg.
Et vu la sécurité il ne devait pas y avoir beaucoup d’alertes mises en place en cas d’intrusion. -
[Topic Unique] C411Ygg depuis son mode turbo puis sa fermeture soudaine n’aura jamais autant fait de bien au P2P francophone.
-
YGG LeakJe suis en train de lire le compte rendu technique de l’infiltration, c’est hallucinant de laisser de telles portes ouvertes sur le net quand on développe et maintient une infra pareille.
-
[Topic Unique] YGG TorrentPour discuter du leak d’Ygg il y a ce topic dédié.
J’y déplace les messages concernés.
-
YGG LeakJe me demande si Interpol, le FBI ou autre va courir au cul de Destroy et Yggflop après ce leak ?
-
YGG LeakTrop marrant le CloudTorrent, ça ressemble vraiment à Libnup, avec probablement plus de moyens
-
YGG LeakUn extrait pour ceux qui ont la flemme de tout lire
Le code source
Chaque point ci-dessous s’appuie sur du code et des données extraits de leurs serveurs.
Fingerprinting de wallets crypto — sci.js + Web3stats.php
Un script
sci.jss’exécute dans votre navigateur à chaque visite. Déguisé enImageCarouselManager(une classe carousel factice de 213 lignes, jamais instanciée), il scanne la présence de wallets crypto : Phantom (Solana), MetaMask (Ethereum), Trust Wallet, Coinbase Wallet, WalletConnect.Si un wallet est détecté, les informations sont envoyées au backend via
Web3stats.php(controller CodeIgniter, clé d’accèsd3ShGIbbX3). La fonctioncollect()stocke le type de wallet, le user-agent, l’IP et le session_id. Tableau de bord accessible à/web3stats?key=d3ShGIbbX3.Le script ne vole rien directement. Il identifie, parmi les 6,6 millions d’utilisateurs, lesquels possèdent un wallet crypto et lequel.
// sci.js — detection de wallets (lignes 443-489) const isPhantomInstalled = window.phantom?.solana?.isPhantom; const provider = window.ethereum || window.web3?.currentProvider; if (isPhantomInstalled || provider) { const walletType = isPhantomInstalled ? 'Phantom' : detectWalletType(provider); await sendWeb3Info(walletType); // POST → /web3stats/collect } function detectWalletType(provider) { const walletTypes = { isPhantom: 'Phantom', isMetaMask: 'MetaMask', isTrust: 'Trust Wallet', isCoinbaseWallet: 'Coinbase Wallet', isWalletConnect: 'WalletConnect' }; return Object.entries(walletTypes) .find(([key]) => provider[key])?.[1] || 'Unknown Wallet'; }Suspicion de skimming bancaire — Security.php
Un controller CodeIgniter de 1,6 Ko, présent dans le code de production, reçoit le numéro de carte complet (PAN), le CVV, la date d’expiration et le nom du titulaire via POST. Les données sont relayées vers un processeur de paiement (Singularity) via un formulaire caché auto-soumis, mais elles transitent d’abord en clair par le serveur YGG. Destroy aurait donc eu accès à l’intégralité des numéros de carte de ses utilisateurs.
Pourquoi faire transiter des données bancaires par son propre serveur quand le processeur de paiement propose un checkout hébergé ? Pourquoi rediriger silencieusement vers google.com quand le token de commande est invalide (technique classique d’anti-analyse) ? Pourquoi un formulaire caché auto-soumis plutôt qu’un appel API côté serveur ?
Je ne peux pas affirmer avec certitude que ce fichier a été utilisé pour du skimming. Mais sa présence dans le code de production, combinée aux nombreux témoignages de fraudes bancaires sur Reddit après des paiements sur YGG, pose des questions auxquelles tu devrais répondre, Destroy.
“Après avoir payé du free leech la semaine dernière par PayPal, aujourd’hui 4000E de matériel de son ont été commandé chez Thomann et livré à une boutique inexistante du 93 sous le nom de Kevin. Ce PayPal n’avait pas été utilisé depuis plus d’un an sauf pour YGG.” — u/TatonTatonne, octobre 2024
