NZBGeek piraté, données utilisateur compromis
Dernière Mise À Jour: mars 03, 2021
En décembre 2020, il a été rapporté que l’indexeur populaire Usenet, NZBGeek, a été piraté. Dans une déclaration publiée par NZBGeek, ils ont mentionné que les pirates ont réussi à placer un keylogger pour accéder à des informations sécurisées supposées de leur système. Ces pirates ont pu obtenir une copie de leur base de données contenant des noms d’utilisateur, des mots de passe chiffrés, des adresses e-mail et des dernières adresses IP connectées. Selon leur instruction, le disque dur de leur indexeur a également échoué avec un serveur API.
Action conseillée
Après avoir informé le public de cette situation difficile, NZBGeek a conseillé à ses utilisateurs de prendre les mesures appropriées s’ils utilisent leur carte avec le site Web depuis le 20 novembre 2020. Cela inclut le signalement de ce qui est arrivé à l’émetteur de leur carte afin de protéger les utilisateurs contre les frais illégaux.
NZBGeek suggère également aux utilisateurs de modifier leurs informations d’identification et de carte dès que possible. Si vous utilisez la même combinaison nom d’utilisateur/mot de passe sur un autre site, NZBGeek vous suggère de les modifier. Vous devez également utiliser des authentifications à deux facteurs avec tous vos comptes en ligne ». Selon leur déclaration publiée, « les données PayPal ne sont pas à risque à condition que vous n’utilisez pas le même nom d’utilisateur/mot de passe pour NZBGeek ».
NZBGeek précise qu’il ne stocke pas les informations de carte de crédit sur son site Web. Cependant, avec les pirates utilisant un SQL-exploit pour installer un keylogger basé sur JavaScript, cela a laissé les utilisateurs exposés.
Préoccupations des utilisateurs
Naturellement, le piratage de NZBGeek a causé un peu d’inquiétude parmi ses utilisateurs. Selon certains forums, certains utilisateurs avaient des frais illégaux sur leur carte de crédit. Heureusement, ceux-ci ont été contestés lorsque NZBGeek a fait l’annonce. Cependant, une grande partie des préoccupations des utilisateurs est de savoir si leurs historiques de téléchargement ont été consultés ou non, d’autant plus que les adresses IP et autres informations ont été compromises.
Étapes initiales de NZBGeek
En découvrant la violation, NZBGeek a mis tout hors ligne à l’exception de son API alors qu’ils ont une aide externe pour le savoir. Dans un communiqué publié sur un site web technologique, NZBGeek déclare : « Nous prenons des mesures massives, avec l’aide de nombreux membres de la communauté dans le monde entier qui sont experts dans diverses formes de cybersécurité. Je suis heureux de vous fournir ces détails car ils sont examinés et finalisés ».
Statut actuel
Depuis janvier 2021, l’API et l’indexeur de NZBGeek sont pleinement fonctionnels. Les administrateurs du site disent également que les historiques de téléchargement ont été stockés sur un serveur distinct. Cependant, il n’était pas clair si cela était compromis.
Le frontal de NZBGeek, d’autre part, a été recentré et est actuellement sur un service minimal et ciblé. Selon leur annonce sur Discord, « Cette nouvelle architecture a pour but de fournir la meilleure expérience pour le cas d’utilisation primaire de NZBGeek : trouver et saisir le rapide de NZB désiré. Les seules données contenues dans la nouvelle structure web sont votre nom d’utilisateur et une clé hachée requise pour l’accès (Votre clé API sera la clé fournie, qui sera connue sous le nom de Geek Key). Comme il n’y a pas de migration des données de mot de passe depuis l’ancien site, votre compte sera sécurisé et la nouvelle clé API (clé Geek), qui sera émise sur le site go-live, sera elle-même votre mot de passe. »
Actuellement, NZBGeek n’est pas ouvert à l’enregistrement, mais a des plans pour rétablir NZBGeek à la façon dont il était le plus connu pour. Le site va implémenter les fonctionnalités demandées et effacera certains bugs précoces. Selon NZBGeek « Le reste de ses fonctionnalités nécessite un travail du côté API des choses par opposition au front-end du site. Il est compréhensible que cela nécessite un jonglage délicat des membres actuellement actifs du site d’origine et une restructuration pour les nouveaux serveurs API et le code. »
Cela étant dit, les administrateurs de NZBGeek s’attendent à ouvrir l’inscription d’ici le 26 février 2021. Cette date sera également le début du déploiement des notifications par e-mail avec un avertissement de 2 semaines pour les comptes périmés qui nécessiteront un renouvellement. Les membres seront également avisés sur place s’ils ont besoin d’un renouvellement.
Mise à jour
NZBGeek a ouvert leur inscription à 14h le 26 février 2021 avec des options de paiement actuellement limitées à la crypto-monnaie. Selon NZBGeek, d’autres options de paiement seront déployées dans les prochaines semaines, y compris les options de carte de crédit.
NZBGeek a également annoncé que sur le nouveau site « aucune donnée de paiement n’est entrée dans le site NZBGeek du tout et vous serez plutôt redirigé vers un site de paiement sécurisé « geekhub » qui est complètement verrouillé et séparé du site lui-même. Vous serez invité à entrer votre nom d’utilisateur et votre mot de passe pour accéder à cette page et soumettre le paiement, et vous permettra d’activer instantanément une fois le paiement terminé. »
Malheureusement, les abonnements à vie ne sont pas et ne seront plus disponibles.