Momentum Usenet Reader kommuniziert über Hintertür mit NewZBee

Das Ding selbst ist kein wirklicher Newsreader, sondern ein umgebauter Browser mit festem Inhalt.

spezifiziert

Ich habe im Beitrag - wie gewünscht - ein Update eingeschoben.

Wer das herausgefunden hat, sollte auch ruhig namentlich erwähnt werden. Das habe ich immer so gehandhabt.

Es wäre sinnvoll, wenn man sich jetzt systematisch ALLE kostenlos verfügbaren Usenet-Clients im Detail anschaut, damit das nicht mehr vorkommen bzw. wiederholen kann.

@Fairlight Ich denke, das wäre auch ein guter Zeitpunkt unter frühere Probleme mal einen Strich zu ziehen. Von daher wäre ich einem Account bei HoU nicht abgeneigt. Und keine Sorge, der Account würde nur der Kommunikation dienen, meine aktiven Zeiten als Downloader sind vorüber.

Dann mach dir doch einen Acc. Aber diese Negativpresse muss nicht sein.

E-Mail ist auf dem Weg zu dir, mein Account bestand wohl noch, das PW habe ich nicht mehr, leider.

https://www.usenext.de/
Das wird wohl damit zusammenhängen.

Ich glaube nicht, da die anscheinend wirklich einem größeren Angriff ausgesetzt waren!

Mitgeschnittene Protokolle zeigen auf dass Momentum urplötzlich eine Menge Traffic nach Taiwan und China initiierte und ist dann an einem Overflow / Run abgestürzt. VPN-Tunnel und auch die VPN-Clients die durch den Tunnel mit dem WAN verbunden waren, haben zugemacht. Ursächlich dafür waren massive PING`s aus dem geblockten IP-Bereichen (Asien und Russland). Wunderbar zu sehen war ebenso eine Umleitung des Traffic von ursprünglich FFM>Mu>Amsterdam hin nach Asien. Es scheint also einen massiven Abfluss von Daten gegeben zu haben.

Die Tatsache, dass die nun mittlerweile seit Tagen komplett down sind, deutet schwer darauf hin, dass sie entweder die Ursache dafür noch nicht kennen oder diese nicht abschalten können. Was dann wiederum auf einen hohen Grad an Verseuchung durch Malware im gesamten System hindeutet. Das würde auch erklären, warum alle neun Mail-Server (mail1.usenext.de bis einschl. mail9.usenext.de) mittlerweile „blacklistet“ wurden.
Wie man hier sehen kann, war dort im Netzwerk einiges los ab dem 25.04. https://www.virustotal.com/gui/domain/www.usenext.de/relations
…wobei ich folgende Malware als „interessant“ ansehe:
https://www.virustotal.com/gui/file/b94452aa08bec3f6a0ff789defdf33797effdd7c552523d4fefddf7922651998/detection
Angeblich soll es heute, am Dienstag 28.04., ein offizielles Statement seitens Usenext geben!

nö bin ich nicht - nur user der die information für wichtig genung fand um einen infobeitrag auf tarnkappe zu erstellen. ich habe auch alles richtig und korrekt dargestellt und wer bzw. wie es zustande gekommen ist, steht da auch. war auch keine kunst wenn man ein „zitat“ von sich gibt :smiley: .

das problem mit dem lesen liegt an der natur der sache - mit zunehmenden alter und erfahrung glaubt man irgendwann, dass man die erste und wichtigste regel (=lesen, lesen, lesen) überspringen bzw abkürzen kann. ( @Ghandy oder es sind die grauen haare - nimms net zu schwer :innocent: )

den artikel fand ich ganz gut, die unstimmigkeiten sind ja jetzt auch beseitigt, also alles wieder grün.

das ausmaß und die bedeutung was momentum anbelangt - ist dennoch ungeheuerlich. die ganzen ratten jagdten der letzten monate/jahre. der streit, die hetze und die verbannungen - alles momentum.

und - es waren wieder mal die daus die alle anderen mitreißen und büßen lassen. aber ich bin der meinung, dass sie wie schafe, ohne ihr wissen, zur schlachtbank geführt wurden (in der umgebung von daus sinkt die persönliche sicherheit aller - klingt komisch is abba so).

aber - ist das nicht die übliche vorgehensweiße in den zwielichtigen umgebungen in denen sie sich bewegen? also ist doch alles beim alten :smiley: und nichts ungewöhnliches was da passiert :smiley: wir sind ja hier nicht aufm kindergeburtstag.

fakenews: das schlachten von netzschafen wegen corona auf ende august 2020 verschoben. hacker beantragen kurzarbeiter geld - ich finds gut :smiley:

ps: das beste ist - gruß an alle betroffenen
wenn momentum eure zugnagsdaten überträgt, dann…
…wird eure avi-nr. übertragen. die avi-nr. ist…
…mit eurem account bzw. mit eurem bankkonto verbunden. haben sie…
…eure avi nr. haben sie eure bankdaten und euren namen sowie eure adresse.

und das alles nur weil ihr mit wölfen spielen wollt, an orten wo ihr nichts zu suchen habt. google ist voll von warnhinweisen, anleitungen, foren, hilfen und informationen - man muss nicht dumm sterben. im diesen sinne frohe panik

lg dackel

//edit: folgenden warnhinweis von usenext habe ich gerade gelesen :smiley:

sieht so aus als ob deren ausfall ebenfalls mit momentum zu tun hat :joy: komisch ist es schon dass des alles zur gleichen zeit passiert :smiley: böse ist - wer böses denkt

2 „Gefällt mir“

@Fairlight Account läuft wieder, danke!

Hiermit möchte ich mich öffentlich für manche Aussagen in Bezug auf House of Usenet (HoU) entschuldigen. Man sollte sich niemals auf die Aussagen einer außenstehenden Person verlassen, die nur ihre eigenen Ziele verfolgt. Tja, nobody’s perfect…

Letztlich geht das aber voll und ganz auf meine Kappe. Mr. B_DeadAngel hat mich ja nicht zur Veröffentlichung der verfälschten Nachrichten gezwungen. Als ich ihn auf seine Einflussnahme und den „Wahrheitsgehalt“ mancher Infos von ihm angesprochen habe, wurde er damals patzig. Ich habe sein Spiel dann nicht länger mitgespielt.

Erst kürzlich haben wir kurz per Telegram gechattet. Auf meine freundliche Anfrage kamen dann Beleidigungen zur Antwort. Ich habe ihm dann ein schönes Restleben gewünscht. Das hat zwar nichts imt Momentum zu tun, ich wollte das aber mal loswerden an dieser Stelle, weil es trotzdem passt.

Bei der Aviteo Ltd. rufe ich heute an, um mich zu erkundigen. Seit wann sind die denn down? Wenn das hier stimmt, dann seit dem 26.04.2020 um ca. 3 Uhr.

1 „Gefällt mir“

@Ghandy lt. einem bekannten seit ca. 56 stunden (stand:09.00 uhr heute) <— ohne gewähr natürlich :smiley:

lg dackel

1 „Gefällt mir“

Mich hat gerade eine Dame von Momentum angerufen. Sie schickt mir eine E-Mail mit der Bitte um Ergänzung und/oder Korrektur meines Beitrages…

Da bin ich ja mal gespannt, was in dieser Mail drinsteht!? :wink: Die wollen bestimmt, dass das mit der Verbindung zu NewZBee rausfliegt…

Bislang kam noch gar nichts. Ich habe aber mit anderen Mitarbeitern auf Deutsch kommuniziert, diese Dame konnte nur sehr gebrochenes Deutsch, wir haben dann Englisch gesprochen. Auch wusste sie nichts über meine Zeitzone und dachte, es wäre schon mitten in der Nacht. Komisch, ruft man dann jemanden an wenn man davon ausgeht, den in der Nachtruhe zu stören? Okay, ich muss ja nicht alles verstehen… :wink:

Ich schmeiße es einfach mal hier rein:

1 „Gefällt mir“

Ahaa…Momentum meldet sich auch noch zu Wort. Mit den Änderungen aus Punkt 2 und 3

  1. To ensure maximum data security within the company, we have published an update from Momentum. Since the release of version (1.7.2) published on April 28, 2020 Momentum no longer uses the password of the respective Usenet login to log in to NewZBee. As already mentioned, the login data was never passed on to third parties . The privacy of our users is our highest priority and has always been granted.
  2. We have also deactivated the forwarding of NZB files to the NewZBee index until further notice.

…ist doch nun das erreicht, was die Fileleechers mit ihrer Analyse bemängelt hatten!

Allerdings widerspricht man sich in dem Text doch selber!

In the news there are currently reports about the limited accessibility of www.usenext.com. Since we are not connected to this service, we cannot make any statements about the facts.

Momentum only accesses an API from UseNeXT for a feature called free download mode.

Was denn jetzt…entweder man hat null Verbindung zu einem Service, oder halt doch!?

Furthermore, we would like to rule out that we have been infiltrated in any way. In order to guarantee the maximum possible protection of users, we are currently conducting an independent and precautionary review of our software.

So ganz sicher ist man sich anscheinend selber nicht, oder warum sonst die Prüfung der Software? Hinzu kommt noch, dass ausgerechnet gestern ein Update für den Client bzw. eine neue Version herauskam! Ein Schelm, der… :wink:

2 „Gefällt mir“

Das Update von Momentum hat sich Tensai auch schon angesehen. Ich zitiere ihn hier mal:

„In Version 1.7.2 werden Username und Passwort immer noch übertragen. Einfach gehashed. Aber für was brauchen die das??? Der Upload der NZB-Dateien und der dazugehörigen Passwörter ist nach wie vor drin. Also Finger weg davon. Das Verbot für die Benutzung besteht für User hier im Board weiterhin. Wer Momentum benutzt und wir finden es raus (und das werden wir), fliegt.
Gruss, Tensai“

Nachdem ja die Parteien behauptet haben, nichts miteinander zu tun zu haben, hat mich dann aber folgendes etwas überrascht!!
Usenext hat eine Übergangslösung am 29.04. präsentiert, die über einen Server eines Drittanbieters läuft. So weit, so gut…
Für die Nutzung dieser Lösung hat man eine Anleitung veröffentlicht. Der Titel lautet:

Anleitung für die Benutzung von Momentum mit Deinem UseNeXT-Account während der Wartungsarbeiten

Mit Hilfe der folgenden Anleitung kannst Du den Momentum-Client mit Deinem UseNeXT-Account weiterhin nutzen.

https://usenext.de/momentum/de.html

Von anderen Newsreadern wird da keine Silbe erwähnt. Als ob man mit denen keine Probleme hätte? Strategisch halte ich das mal für Poppes bei der Gerüchteküche!! :rofl:

Unser Informant schreibt zum Homez/Momentum Statement:

Momentum hat ohne Erlaubnis oder Wissen des Benutzers Daten an seine eigene API gesendet, welche weder für die Funktion noch für die Verbesserung der Software notwendig sind. Auch wenn HolmeZ diese Daten nicht weitergegeben hat, sind diese nun im Besitz von HolmeZ und stellen ein Sicherheitsrisiko dar, insbesondere wenn z.B. HolmeZ selbst gehackt werden würde. Software, welche ungefragt mehr Daten als notwendig speichert oder abgreift IST Malware. Punkt!

Das „Sicherheits-Update“ (Version 1.7.2) behebt die grundsätzlichen Mängel nicht. Z.Z. ist die NewzBee API zwar auch offline, potentiell werden aber - sobald die API wieder funktioniert - nach wie vor Username zum Provider, Password zum Provider, Host des Providers und Port an NewzBee.org übertragen. Username und Passwort werden nun zwar „nur“ noch als Hash übertragen, es stellt sich dennoch die Frage, warum diese Daten überhaupt übertragen werden müssen. Das Update von Momentum zielte im Übrigen hauptsächlich darauf, Momentum auch ohne NewzBee API lauffähig zu machen. Sobald die API aber wieder aktiviert ist, kann Momentun nach wie vor mit dieser komunizieren.

Der ganze Code zur Übertragung von NZB-Dateien und dem dazugehörigen Passwort ist in Version 1.7.2 nach wie vor vorhanden. Ob das tatsächlich deaktiviert wurde und auch so bleiben wird, wird sich erst zeigen, wenn die NewzBee API wieder online ist.

Grundsätzlich hat HolmeZ mit diese Statement indirekt zugegeben, dass dieAnschuldigungen korrekt sind und versucht sich nun rauszureden.

Nachtrag: Zudem wird für Username und Passwort der als inzwischen unsicher angesehene MD5 Hash-Algorithmus verwendet, welcher geknackt werden kann. Die Daten sind also keineswegs sicher, nur weil sie gehashed wurden.

Das aktuelle Statement des Anbieters haben wir hier auch gebracht.

@Ghandy - Euer Informant?

Das hat Tensai vor kurzem gepostet bei FileLeechers:

" Was tatsächlich stimmt, ist, dass Momentum oder HolmeZ ziemlich Sicher nichts mit dem Angriff auf Usenext, Usenet.nl und Save.tv zu tun haben. Dass meine Entdeckung und der Angriff fast zeitgleich statt fanden, war reiner Zufall.

Zu den 3 Punkten oben aber folgendes:

  1. Momentum hat ohne Erlaubnis oder Wissen des Benutzers Daten an seine eigene API gesendet, welche weder für die Funktion noch für die Verbesserung der Software notwendig sind. Auch wenn HolmeZ diese Daten nicht weitergegeben hat, sind diese nun im Besitz von HolmeZ und stellen ein Sicherheitsrisiko dar, insbesondere wenn z.B. HolmeZ selbst gehackt werden würde. Software, welche ungefragt mehr Daten als notwendig speichert oder abgreift IST Malware. Punkt!
  2. Das „Sicherheits-Update“ (Version 1.7.2) behebt die grundsätzlichen Mängel nicht. Z.Z. ist die NewzBee API zwar auch offline, potentiell werden aber - sobald die API wieder funktioniert - nach wie vor Username zum Provider, Password zum Provider, Host des Providers und Port an NewzBee.org übertragen. Username und Passwort werden nun zwar „nur“ noch als Hash übertragen, es stellt sich dennoch die Frage, warum diese Daten überhaupt übertragen werden müssen. Nachtrag: Zudem wird der als inzwischen unsicher angesehene MD5 Hash-Algorithmus verwendet, welcher geknackt werden kann. Die Daten sind also keineswegs sicher, nur weil sie gehashed wurden.
    Das Update von Momentum zielte im Übrigen hauptsächlich darauf, Momentum auch ohne NewzBee API lauffähig zu machen. Sobald die API aber wieder aktiviert ist, kann Momentun nach wie vor mit dieser komunizieren .
  3. Der ganze Code zur Übertragung von NZB-Dateien und dem dazugehörigen Passwort ist in Version 1.7.2 nach wie vor vorhanden . Ob das tatsächlich deaktiviert wurde und auch so bleiben wird, wird sich erst zeigen, wenn die NewzBee API wieder online ist.

Grundsätzlich hat HolmeZ mit diesem Statement indirekt zugegeben, dass meine Anschuldigungen korrekt sind und versucht sich nun rauszureden.

Fakt bleibt:

Momentum IST Malware!

Gruss, Tensai"

Übrigens gibts schon seit kurzem von Momentum eine Version 1.7.3. Jetzt kommen da Updates Schlag auf Schlag. :rofl:

Hallo Takko,
Wir können mit hoher Wahrscheinlichkeit davon ausgehen, dass weder Momentum noch HolmeZ Teil des Problems sind. Wir sind als Access Provider unserer Pflicht nachgegangen und haben Drittanbieter über den Vorfall informiert. Im Zuge dessen haben auch Drittanbieter im Rahmen Ihrer Sorgfaltspflicht Services auf den Prüfstand gestellt. Dies kann dazu führen, dass auch deren Services zeitweise nicht zur Verfügung stehen. Wir werden unseren Service nach einer ausführlichen Prüfung wieder hochfahren und Schritt für Schritt auch wieder für Drittanbieter zugänglich machen. Oberste Priorität haben dabei immer die Sicherheit unserer Nutzer und deren Daten.

UseNeXT Germany

@takko Ja, er hat sich mir in den E-Mails nicht namentlich vorgestellt. Ich bin aber sowieso davon ausgegangen, dass es ein und dieselbe Person war. :wink: