Momentum Usenet Reader kommuniziert über Hintertür mit NewZBee

Das Update von Momentum hat sich Tensai auch schon angesehen. Ich zitiere ihn hier mal:

„In Version 1.7.2 werden Username und Passwort immer noch übertragen. Einfach gehashed. Aber für was brauchen die das??? Der Upload der NZB-Dateien und der dazugehörigen Passwörter ist nach wie vor drin. Also Finger weg davon. Das Verbot für die Benutzung besteht für User hier im Board weiterhin. Wer Momentum benutzt und wir finden es raus (und das werden wir), fliegt.
Gruss, Tensai“

Nachdem ja die Parteien behauptet haben, nichts miteinander zu tun zu haben, hat mich dann aber folgendes etwas überrascht!!
Usenext hat eine Übergangslösung am 29.04. präsentiert, die über einen Server eines Drittanbieters läuft. So weit, so gut…
Für die Nutzung dieser Lösung hat man eine Anleitung veröffentlicht. Der Titel lautet:

Anleitung für die Benutzung von Momentum mit Deinem UseNeXT-Account während der Wartungsarbeiten

Mit Hilfe der folgenden Anleitung kannst Du den Momentum-Client mit Deinem UseNeXT-Account weiterhin nutzen.

https://usenext.de/momentum/de.html

Von anderen Newsreadern wird da keine Silbe erwähnt. Als ob man mit denen keine Probleme hätte? Strategisch halte ich das mal für Poppes bei der Gerüchteküche!! :rofl:

Unser Informant schreibt zum Homez/Momentum Statement:

Momentum hat ohne Erlaubnis oder Wissen des Benutzers Daten an seine eigene API gesendet, welche weder für die Funktion noch für die Verbesserung der Software notwendig sind. Auch wenn HolmeZ diese Daten nicht weitergegeben hat, sind diese nun im Besitz von HolmeZ und stellen ein Sicherheitsrisiko dar, insbesondere wenn z.B. HolmeZ selbst gehackt werden würde. Software, welche ungefragt mehr Daten als notwendig speichert oder abgreift IST Malware. Punkt!

Das „Sicherheits-Update“ (Version 1.7.2) behebt die grundsätzlichen Mängel nicht. Z.Z. ist die NewzBee API zwar auch offline, potentiell werden aber - sobald die API wieder funktioniert - nach wie vor Username zum Provider, Password zum Provider, Host des Providers und Port an NewzBee.org übertragen. Username und Passwort werden nun zwar „nur“ noch als Hash übertragen, es stellt sich dennoch die Frage, warum diese Daten überhaupt übertragen werden müssen. Das Update von Momentum zielte im Übrigen hauptsächlich darauf, Momentum auch ohne NewzBee API lauffähig zu machen. Sobald die API aber wieder aktiviert ist, kann Momentun nach wie vor mit dieser komunizieren.

Der ganze Code zur Übertragung von NZB-Dateien und dem dazugehörigen Passwort ist in Version 1.7.2 nach wie vor vorhanden. Ob das tatsächlich deaktiviert wurde und auch so bleiben wird, wird sich erst zeigen, wenn die NewzBee API wieder online ist.

Grundsätzlich hat HolmeZ mit diese Statement indirekt zugegeben, dass dieAnschuldigungen korrekt sind und versucht sich nun rauszureden.

Nachtrag: Zudem wird für Username und Passwort der als inzwischen unsicher angesehene MD5 Hash-Algorithmus verwendet, welcher geknackt werden kann. Die Daten sind also keineswegs sicher, nur weil sie gehashed wurden.

Das aktuelle Statement des Anbieters haben wir hier auch gebracht.

@Ghandy - Euer Informant?

Das hat Tensai vor kurzem gepostet bei FileLeechers:

" Was tatsächlich stimmt, ist, dass Momentum oder HolmeZ ziemlich Sicher nichts mit dem Angriff auf Usenext, Usenet.nl und Save.tv zu tun haben. Dass meine Entdeckung und der Angriff fast zeitgleich statt fanden, war reiner Zufall.

Zu den 3 Punkten oben aber folgendes:

  1. Momentum hat ohne Erlaubnis oder Wissen des Benutzers Daten an seine eigene API gesendet, welche weder für die Funktion noch für die Verbesserung der Software notwendig sind. Auch wenn HolmeZ diese Daten nicht weitergegeben hat, sind diese nun im Besitz von HolmeZ und stellen ein Sicherheitsrisiko dar, insbesondere wenn z.B. HolmeZ selbst gehackt werden würde. Software, welche ungefragt mehr Daten als notwendig speichert oder abgreift IST Malware. Punkt!
  2. Das „Sicherheits-Update“ (Version 1.7.2) behebt die grundsätzlichen Mängel nicht. Z.Z. ist die NewzBee API zwar auch offline, potentiell werden aber - sobald die API wieder funktioniert - nach wie vor Username zum Provider, Password zum Provider, Host des Providers und Port an NewzBee.org übertragen. Username und Passwort werden nun zwar „nur“ noch als Hash übertragen, es stellt sich dennoch die Frage, warum diese Daten überhaupt übertragen werden müssen. Nachtrag: Zudem wird der als inzwischen unsicher angesehene MD5 Hash-Algorithmus verwendet, welcher geknackt werden kann. Die Daten sind also keineswegs sicher, nur weil sie gehashed wurden.
    Das Update von Momentum zielte im Übrigen hauptsächlich darauf, Momentum auch ohne NewzBee API lauffähig zu machen. Sobald die API aber wieder aktiviert ist, kann Momentun nach wie vor mit dieser komunizieren .
  3. Der ganze Code zur Übertragung von NZB-Dateien und dem dazugehörigen Passwort ist in Version 1.7.2 nach wie vor vorhanden . Ob das tatsächlich deaktiviert wurde und auch so bleiben wird, wird sich erst zeigen, wenn die NewzBee API wieder online ist.

Grundsätzlich hat HolmeZ mit diesem Statement indirekt zugegeben, dass meine Anschuldigungen korrekt sind und versucht sich nun rauszureden.

Fakt bleibt:

Momentum IST Malware!

Gruss, Tensai"

Übrigens gibts schon seit kurzem von Momentum eine Version 1.7.3. Jetzt kommen da Updates Schlag auf Schlag. :rofl:

Hallo Takko,
Wir können mit hoher Wahrscheinlichkeit davon ausgehen, dass weder Momentum noch HolmeZ Teil des Problems sind. Wir sind als Access Provider unserer Pflicht nachgegangen und haben Drittanbieter über den Vorfall informiert. Im Zuge dessen haben auch Drittanbieter im Rahmen Ihrer Sorgfaltspflicht Services auf den Prüfstand gestellt. Dies kann dazu führen, dass auch deren Services zeitweise nicht zur Verfügung stehen. Wir werden unseren Service nach einer ausführlichen Prüfung wieder hochfahren und Schritt für Schritt auch wieder für Drittanbieter zugänglich machen. Oberste Priorität haben dabei immer die Sicherheit unserer Nutzer und deren Daten.

UseNeXT Germany

@takko Ja, er hat sich mir in den E-Mails nicht namentlich vorgestellt. Ich bin aber sowieso davon ausgegangen, dass es ein und dieselbe Person war. :wink:

@Ghandy - hast Du kein Account bei FileLeechers? Gehe ich mal von aus, sonst hättest Du ja gewusst wer die Programme analysiert. Und so lieb die Leute bei SoU sind, da hat niemand irgendetwas getestet. Wobei ich wirklich denke, Du solltest in allen Boards (6 Stück sage ich mal) einen Account haben, damit Du richtig recherchieren kannst und nicht auf „Hörensagen“ angewiesen bist.

Bin auch nicht sicher ob Du das von Tensai geschickt bekommen hast. Bei Tensai steht: „dass meine Anschuldigungen korrekt“, bei Deinem Informanten steht „dass dieAnschuldigungen korrekt“ - inklusive fehlendem Space.
Falls Dir Accounts fehlen frag doch bei denen mal so höflich an, wie Du das gerade mit HoU gemacht hast. Bin sicher das geht.

– no comment –

https://tarnkappe.info/forum/t/usenext-abgeschaltet-usenet-nl-down-was-ist-da-los/3786/4

i.A.

Hallo
Bei Momentum werden Username und Passwort immer noch übertragen. Der Upload der NZB-Dateien und die dazugehörigen Passwörter sind nach wie vor drin.

@UseNeXTGermany und was ist nochmal mit dem ganzen boardcontent den momentum in klarnamen umbenannt und passwort frei getipselt hat, damit eure user einfach nur klicken mussten um sich die uploads runterzuladen??

meine meinung:
die boards sollten alle usenext-, momentum- und konsortenuser raus werfen und ihr solltet anfangen euch um eure user selbst zu kümmern und nicht die anderen die arbeit machen lassen.

kuck doch mal an wie sie jetzt um passwörter jammern. das ausmaß der passwortratte momentum, was sich jetzt zeigt, ist ungeheuerlich (das geht jetzt schon über stunden so - alles pw jammerer).

bsp.: die ganzen klarnamen die in den nextkommentare die in der übersicht laufen (s.u.), sind alles boardups (wo max. der header in zahlen zu sehen sein sollte). die sind alle von euch intern umbenannt und mit pw freigetipselt worden, dass man sie mit euren dl-managern (tangy/momentum/holmez) laden kann. ist das nicht etwas zu einfach?? ihr nutzt die mühen und den content von anderen um den nextusern deren content zur verfügung zu stellen, damit ihr euch eine goldene nase verdienen könnt - echt jetzt.

alles boardups wo eigentlich nur der header zu sehen sein sollte → bitte um stellungname :smiley: ich bin gespannt wie ihr euch da rauslügen wollt.

wenn alles wieder läuft und keiner mehr etwas mitbekommt von euren passwort ratten ist wohl aus eurer sicht alles ausgesessen und der rest hält wieder die klappe?? aber da irrt ihr euch, ich kann nur hoffen dass die restlichen verbliebenen usenetboards die jagdt auf eure nextuser eröffnen um dem rattenproblem endgültig den gar auszumachen. wie man in den wald hinein ruft, so schallt es wieder heraus.

lg dackel

ps: liebe boards macht eure reg. zu. ddos attacken waren gestern - jetzt kommt die nextdau - welle. die überfluten euch mit wünschen, fragen, hilfen und dann könnt ihr zu machen weil ihr von innen heraus lahm gelegt wurdet :smiley: . da müsst ihr bei copy&paste ganz am anfang beginnen bei dieser spezies und die erwarten auch dass sie alles mit dem silberlöffel in den popo geschoben bekommen. die klauen gewerbsmäßig euren content (und next&coverdient dabei kohle ohne ende) - ich würde mir wünschen das man das problem jetzt endgültig (alle boards zusammen) angeht. wenn nicht jetzt wann dann?

jeder dauuser ist auch ein potentielles perönliches sicherheitsrisiko für alle anderen also für uns alle.

//edit 10.00 uhr

was für ein riesen außmaß - nur noch am betteln

1 „Gefällt mir“

– no comment –

https://tarnkappe.info/forum/t/usenext-abgeschaltet-usenet-nl-down-was-ist-da-los/3786/22

Ich habe der Dame noch zwei Rückfragen gestellt. Ob ich eine Antwort kriege?

Hello Samantha,

I have two more questions:

In version 1.7.3 of the Momentum Client, the host address and username of the Usenet provider access are still transferred to NewZBee.org. What is this information transferred for? Why is the user of the software not informed about it? Does this comply with the EU privacy policy?

In version 1.7.3 of the Momentum Client, the code for uploading imported NZB files including the password (if any) to NewZBee.org is still available. The feature seems to be disabled, but why wasn’t this code deleted?

Punkt 2 hat sich inzwischen jedoch erledigt. Es kam heute eine neue v1.7.4 heraus und da wurde (als einzige Änderung!) die Funktion zum Upload der NZB-Datei und des dazugehörigen Passworts tatsächlich aus dem Code entfernt. Mein Kontakt ist gerade erst fertig geworden mit der Analyse des Codes.

Wichtige Informationen

In Bezug auf aktuelle Falschmeldungen zum Newsreader Momentum nehmen wir hierzu Stellung und fordern etwaige Seiten und Seitenbetreiber dazu auf, Falschmeldungen richtig zu stellen. Es ist mit absoluter Sicherheit zu sagen, dass der Newsreader Momentum nicht Teil des Problems ist.

In den Nachrichten kursieren derzeit Meldungen zur eingeschränkten Erreichbarkeit von www.usenext.com. Da wir eine unabhängige juristische Person sind, können wir keine Aussagen zum Sachverhalt machen. Newsreader und explizit Momentum sind in keiner Weise Teil des Problems. Um Zugang zu bestimmten Funktionen der Anbieter zu gewährleisten, müssen wir manchmal eine Verbindung zu ihren Diensten herstellen. Im Fall von UseneXT ist der Free Download-Modus ein solches Feature. Da deren API derzeit nicht verfügbar ist, gibt es auch Einschränkungen bei der Nutzung von Momentum.

Auch wenn wir im Moment keine Anzeichen dafür haben, dass wir infiltriert worden sind, schätzen wir die Privatsphäre unserer Nutzer . Aus diesem Grund haben wir NewZBee als Präventivmaßnahme abgeschaltet und prüfen alle unsere Systeme. NZBindex.nl steht aber wie gewohnt als Index zur Verfügung. Dies bitten wir zu entschuldigen. Wir können versichern, dass daran mit Hochdruck gearbeitet wird.

Des Weiteren nehmen wir Stellung zu aktuellen Meldungen in Verbindung mit der Sicherheit von Momentum

  1. Momentum ist keine Malware und hat nie unerlaubt im Hintergrund mit externen Diensten kommuniziert . Die HolmeZ SoftSolutions Pte. Ltd. ist Betreiber und Herausgeber der Newsreader Momentum und Holmez sowie des Indexdienstes NewZBee. Eine Kommunikation der Newsreader aus dem eigenen Haus in Richtung NewZBee Index fand somit immer nur innerhalb des eigenen Unternehmens statt und diente der Verbesserung der Anwendung. Gegensätzliche Meldungen sind sachlich nicht korrekt.
  2. Um auch innerhalb des Unternehmens eine maximal mögliche Sicherheit gewährleisten zu können, haben wir ein Update von Momentum veröffentlicht. Damit nutzt Momentum seit der am 28.04.2020 veröffentlichten Version (1.7.2) das Passwort des jeweiligen Usenet-Logins nicht mehr zur Anmeldung bei NewZBee. Wie bereits erwähnt, kam es dabei niemals zu einer Weitergabe der Login-Daten an Dritte . Die Privatsphäre unserer Nutzer hat für uns oberste Priorität und wurde immer gewährt.
  3. Darüber hinaus haben wir bis auf Weiteres eine Weiterleitung von NZB-Dateien an den Index NewZBee deaktiviert.

Seit einigen Stunden zu lesen bei:

https://plus.momentum-client.com/indexDE.html

:sunglasses: :fu:

:rofl: :rofl: :rofl: :rofl: :rofl: :rofl:

Dann haben die aber den falschen Server abgestellt :bangbang: :bangbang: :bangbang: :bangbang: :bangbang:

https://auth.newzbee.org/

:smiling_face_with_three_hearts:

1 „Gefällt mir“

NACHTRAG 02.05.2020:

It is highly recommend to uninstall this newsreader and change the password of your usenet provider!
Thanks to ‚Tensai‘ who checked the source code of Momentum.
In addition he also uploaded this image which shows the uploaded data:

He kindly also showed the source code that is uploading your provider credentials:

this.createNewToken = (e, t = null) => Object(Wm.__awaiter)(this, void 0, void 0, (function* () {
const n = this.dexieService.config();
if (this.tokenRefreshInProgress) {
for (; this.tokenRefreshInProgress;) console.log("waiting for new token"), yield this.delay(300);
return Promise.resolve(n.newzBeeToken)
}
this.tokenRefreshInProgress = !0, console.log("Create NewzBee Token");
let i = null;
if (this.dexieService.isLoggedIn() || e) {
const e = n.newsServer();
i = new Uw({
encoder: new mS
})
.set("grant_type", "usenet_credentials")
.set("username", e.username)
.set("password", e.password)
.set("host", e.host)
.set("port", e.port.toString())
.set("usessl", e.use_ssl ? "true" : "false")
.set("validate", "false")
.set("client_id", this.writeToLog(null))
.set("client_secret", this.removeFromLog(null))
} else i = new Uw({
encoder: new mS
})
.set("grant_type", "client_credentials")
.set("client_id", this.writeToLog(null))
.set("client_secret", this.removeFromLog(null));
null != t && (i = i.append("nickname", t), i = i.append("preferExistingNickname", "false"));
try {
const t = yield this.http.post(this.authURL, i.toString(), {
headers: (new Yw)
.set("Content-Type", "application/x-www-form-urlencoded")
})
.toPromise(), r = new ap(t);
return n.newzBeeToken = r, yield this.loadUserData(e), this.dexieService.triggerSaveConfig(), this.tokenRefreshInProgress = !1, Promise.resolve(t)
} catch (r) {
return this.tokenRefreshInProgress = !1, 400 === r.status && null === t && this.dexieService.isLoggedIn() ? (this.dexieService.logoutEvent.emit(), Promise.reject(this.translationService.instant("global_api_error"))) : this.handleError(r)
}
}))

1 „Gefällt mir“

Ich habe nun Antwort auf meine Anfrage erhalten:

Dear Mr. Sobiraj,

Thank you for your email! Please see my response below.

The host address and username are still transmitted to NewZBee.org to enable a few “comfort features” for Momentum users:

This data transmission eliminates the need for the user to login twice if he or she decides to use the NewZBee index — once as initial login to the Momentum Client, and then a second time to login to NewZBee.

Furthermore, this allows the user to make comments under the same Momentum Username (which he can change anytime).

We are currently evaluating implementing this as an optional function for the user — users who want to have their usernames used as the default nickname for commenting can activate it, but per default the function will not be activated.

In addition, we would like to emphasize the following:

Private user data remained within the company of HolmeZ Softsolutions Pte. Ltd. and was never given to any third party.

Usenet users are free to evaluate the function in question (thereby experiencing the related “comfort features”) from a personal perspective, and are free and welcome to state their opinion on whether they like it or not. Anything beyond that personal opinion, intending that we gave away personal user data, is inaccurate.

For your information, our team released Version 1.7.4 yesterday (May 1, 2020). In this version, all functions related to the upload of NZB files including the password (if any) to the NewZBee index has been completely eliminated from the source code. We are still working on a short official announcement regarding this new version, to be posted on the Momentum website.

Have a good evening and enjoy the rest of your weekend.

Kind Regards,

Samantha Lee

Project Manager

HolmeZ Softsolutions Pte. Ltd.

Comfort features… so, so :wink:

1 „Gefällt mir“

Die Host-Adresse und der Benutzername werden weiterhin an NewZBee.org übermittelt, um einige „Komfortfunktionen“ für Momentum-Benutzer zu ermöglichen:

Diese Datenübertragung eliminiert die Notwendigkeit für den Benutzer, sich zweimal einzuloggen, wenn er oder sie sich entscheidet, den NewZBee Index zu benutzen - einmal als erstes Login in den Momentum Client, und dann ein zweites Mal, um sich in NewZBee einzuloggen.

IMO: Was hier als sogenannte „Komfortfunktion“ verkauft wird, ist nichts anderes, als das Aufweichen von Sicherheitsaspekten!!

Diese Datenübertragung eliminiert die Notwendigkeit für den Benutzer…

Wortbedeutung Notwendigkeit:
In der Alltagssprache bezeichnet man etwas als notwendig, wenn man glaubt („für notwendig halten“), dass es benötigt wird bzw. vorhanden sein muss, um einen bestimmten Zustand oder ein bestimmtes Ergebnis zu erreichen.

Es entspricht keiner Logik in der IT, einen sicherheitsrelevanten Aspekt zu eleminieren (bzw. zu opfern), nur um die Faulheit des Benutzers damit zu unterstützen!

Ohne in die Details gehen zu wollen: VIP hat da völlig recht. Es ist korrekt, dass NewzBee die Username/Host-Kombination offenbar verwendet, um dem Momentum-Benutzer unterschiedliche Benutzer-IDs/Namen für die Kommentarfunktion zuzuweisen. Eine verantwortungsvolle App würde das aber über einen Hash lösen. Die Übertragung von dieser Daten im Klartext an NewzBee ist definitiv nicht notwendig. Wenn man gutmütig (sprich naiv) ist, kann man sagen, „OK, wurde halt schlecht programmiert“. Ansonsten muss man sagen, da steckt Absicht und auch eine grosse Portion krimineller Energie dahinter.

Im Übrigen warte ich immer noch auf die Release-Notes für v1.7.4. Aber offensichtlich hat HolmeZ‘ Marketing-Abteilungen noch nicht rausgefunden, wie sie das erklären wollen, ohne die Hosen runter zu lassen :laughing:

Gruss, Tensai

3 „Gefällt mir“

Das macht er schon wieder …
Da ja Tensai hier aktiv mitschreibt, kann er sich ja zu Wort melden.

https://house-of-usenet.com/showthread.php?tid=619477

Der Tech-Admin Tensai des Usenetforums Fileleechers hat auf einen Hinweis hin erneut den Quellcode und den Internetverkehr des Usenet Clients Momentum untersucht und festgestellt, dass zumindest die aktuelle Version v2.8.0 wieder die Passwörter von passwortgeschützten Usenet-Uploads an den hauseigenen Indexer Newzbee übermittelt.
Wird mit Momentum ein passwortgeschützter Upload heruntergeladen und anschliessend in Momentum das Passwort fürs Entpacken eingegeben, so übermittelt Momentum das Passwort nach dem erfolgreichen Entpacken an Newzbee. Der passwortgeschützte Upload kann anschliessend sofort von allen Momentum-Benutzern ohne Eingabe eines Passwortes heruntergeladen werden und das Passwort wird sogar auch in Form eines Kommentars zum Upload angezeigt.
Dieses Verhalten betrifft nur Uploads, die mit Momentum über den Newzbee Indexer gesucht und dann direkt heruntergeladen werden.
Wird ein Download über den Import einer NZB-Datei gestartet, scheinen keine Daten an Newzbee übertragen zu werden.

1 „Gefällt mir“

https://tarnkappe.info/forum/t/holmez-betreiber-stellt-usenet-reader-ein/9653/6

Seit dem 14.12.2021 ist der Service unter HolmeZ.com nicht mehr erreichbar und es erscheint lediglich die Meldung „Sorry, we are closed Farewell !“. Der beliebte browser-basierte Newsreader hat von einem Tag auf den anderen den Dienst beendet . Nachdem erst der Newsreader unter HolmeZ.org Anfang 2019 beerdigt wurde, geht nun wohl auch der Webservice unter HolmeZ.com offline .

Der Momentum-Client, um den es hier geht, hat immer noch folgenden Wortlaut in seinem Imprint stehen:

Der beliebteste Usenet-Browser und Newsreader.

Finde im Usenet was du brauchst - kinderleicht.

Impressum

Verantwortlich für den Inhalt der Webseite

Momentum ist ein Angebot der:

HolmeZ SoftSolutions Pte. Ltd.
80 Robinson Road #02-00
Singapore 068898
info@holmez.com

Der zugehörige Indexer unter „newzbee.org“ bzw. „auth.newzbee.org“ besitzt zwar eine Web-GUI mit einem Registrierungsformular und einem Login. Dieser Dienst scheint aber nur ein Fake zu sein, wie es auch in diesem Thread nachzulesen ist!!

Wieso man aber für eine nicht mehr aktive Website, eine so große und kostspielige Infrastruktur einsetzt, wissen wohl nur die Betreiber selber?! :thinking: :rofl: :rofl:

Die Newzbee-API scheint ebenfalls noch aktiv zu sein:

https://api.newzbee.org/v1/docs/index.html

1 „Gefällt mir“