Lien
https://yggleak.top/fr/home/ygg-dossier
Description courte
Description du hack de YGGtorrent et de ce qui était mis en œuvre derrière ce site.
Attention: J’ai hésité à partager ce lien puisqu’il s’agit d’un article décrivant un piratage qui tombe probablement sous le coup de différents articles de lois.
Néanmoins, de nombreux médias en ont déjà parlé et l’article est intéressant à la fois:
- sur le déroulé du hack qui peut faire prendre conscience à nos membres de certains aspects en matière de sécurité informatique quand on fait du dev ou de l’administration système.
- sur l’organisation, la surveillance et les arnaques potentielles que peuvent mener certaines personnes à l’origine de plateforme P2P ou streaming hébergeant ou référençant des contenus sans respecter les droits d’auteurs. Le but n’est pas de porter un jugement sur les personnes qui DL, mais de rappeler qu’il y a des risques, qu’il ne faut jamais payer sur ces plateformes, ni les visiter avec un navigateur standard non paramétré (genre sans bloqueurs de pubs).
Attention quand même télécharger la fuite, et/ou mener des investigations complémentaires invasives, pourrait aussi être illégal…
Extraits choisis
Sur YGGtorrent:
Un script sci.js s’exécute dans votre navigateur à chaque visite. Déguisé en ImageCarouselManager (une classe carousel factice de 213 lignes, jamais instanciée), il scanne la présence de wallets crypto : Phantom (Solana), MetaMask (Ethereum), Trust Wallet, Coinbase Wallet, WalletConnect.
Suspicion de skimming bancaire — Security.php
Un fichier CSV de 259 Mo sans en-tête, 4 173 645 lignes, couvrant 12 mois de collecte (septembre 2024 à septembre 2025). Chaque ligne enregistre un évènement de navigation : user_id, timezone, langues_navigateur, timestamp.
Sur le hack
Point de départ : le favicon du site yggtorrent. Chaque icône a une empreinte numérique unique. Si on calcule le hash de celle de YGG et qu’on le cherche dans Shodan, l’IP du serveur de pré-prod apparaît :
Le port 443 sert le DocumentRoot Apache avec le directory listing actif.
Le scan de ports a révélé le service SphinxQL sur le port 9306. Sphinx Search est un moteur de recherche full-text qui utilise un protocole compatible MySQL. Sur ce serveur, il est accessible depuis Internet sans aucune authentification
Bon un moteur de recherche accessible sans authentification, c’est déjà un problème. Mais SphinxQL supporte nativement la lecture de fichiers locaux via CALL SNIPPETS, une fonctionnalité prévue pour l’indexation. Quand le service tourne avec des privilèges élevés et qu’il est exposé à Internet sans restrictions, ça revient à donner un accès en lecture sur tout le disque à n’importe qui.
Sur les serveurs Windows déployés automatiquement, le fichier sysprep_unattend.xml contient les paramètres d’installation, y compris, parfois, le mot de passe administrateur.
Puis accès total à la machine via le protocole SMB ouvert.
=> Conclusion: exposer son ordi ouvert sur le net est une mauvaise idée. Pensez également à vérifier l’IPv6 pour laquelle le parefeu de la box n’est pas toujours fonctionnelle… De même, des personnes ayant accès à des box peuvent opérer le même genre d’attaques sur des réseaux locaux.
Auteur⋅es
gr0lum
Date de publication
2026-02-26
Revendications liées
Liberté - Interdire la surveillance de masse
Liberté - Stopper la collecte de données personnelles (hors formulaire validé)
Soutenabilité - Interdire les blockchains énergivores