Thank you for your email! Please see my response below.
The host address and username are still transmitted to NewZBee.org to enable a few “comfort features” for Momentum users:
This data transmission eliminates the need for the user to login twice if he or she decides to use the NewZBee index — once as initial login to the Momentum Client, and then a second time to login to NewZBee.
Furthermore, this allows the user to make comments under the same Momentum Username (which he can change anytime).
We are currently evaluating implementing this as an optional function for the user — users who want to have their usernames used as the default nickname for commenting can activate it, but per default the function will not be activated.
In addition, we would like to emphasize the following:
Private user data remained within the company of HolmeZ Softsolutions Pte. Ltd. and was never given to any third party.
Usenet users are free to evaluate the function in question (thereby experiencing the related “comfort features”) from a personal perspective, and are free and welcome to state their opinion on whether they like it or not. Anything beyond that personal opinion, intending that we gave away personal user data, is inaccurate.
For your information, our team released Version 1.7.4 yesterday (May 1, 2020). In this version, all functions related to the upload of NZB files including the password (if any) to the NewZBee index has been completely eliminated from the source code. We are still working on a short official announcement regarding this new version, to be posted on the Momentum website.
Have a good evening and enjoy the rest of your weekend.
Die Host-Adresse und der Benutzername werden weiterhin an NewZBee.org übermittelt, um einige „Komfortfunktionen“ für Momentum-Benutzer zu ermöglichen:
Diese Datenübertragung eliminiert die Notwendigkeit für den Benutzer, sich zweimal einzuloggen, wenn er oder sie sich entscheidet, den NewZBee Index zu benutzen - einmal als erstes Login in den Momentum Client, und dann ein zweites Mal, um sich in NewZBee einzuloggen.
IMO: Was hier als sogenannte „Komfortfunktion“ verkauft wird, ist nichts anderes, als das Aufweichen von Sicherheitsaspekten!!
Diese Datenübertragung eliminiert die Notwendigkeit für den Benutzer…
Wortbedeutung Notwendigkeit: In der Alltagssprache bezeichnet man etwas als notwendig, wenn man glaubt („für notwendig halten“), dass es benötigt wird bzw. vorhanden sein muss, um einen bestimmten Zustand oder ein bestimmtes Ergebnis zu erreichen.
Es entspricht keiner Logik in der IT, einen sicherheitsrelevanten Aspekt zu eleminieren (bzw. zu opfern), nur um die Faulheit des Benutzers damit zu unterstützen!
Ohne in die Details gehen zu wollen: VIP hat da völlig recht. Es ist korrekt, dass NewzBee die Username/Host-Kombination offenbar verwendet, um dem Momentum-Benutzer unterschiedliche Benutzer-IDs/Namen für die Kommentarfunktion zuzuweisen. Eine verantwortungsvolle App würde das aber über einen Hash lösen. Die Übertragung von dieser Daten im Klartext an NewzBee ist definitiv nicht notwendig. Wenn man gutmütig (sprich naiv) ist, kann man sagen, „OK, wurde halt schlecht programmiert“. Ansonsten muss man sagen, da steckt Absicht und auch eine grosse Portion krimineller Energie dahinter.
Im Übrigen warte ich immer noch auf die Release-Notes für v1.7.4. Aber offensichtlich hat HolmeZ‘ Marketing-Abteilungen noch nicht rausgefunden, wie sie das erklären wollen, ohne die Hosen runter zu lassen
Der Tech-Admin Tensai des Usenetforums Fileleechers hat auf einen Hinweis hin erneut den Quellcode und den Internetverkehr des Usenet Clients Momentum untersucht und festgestellt, dass zumindest die aktuelle Version v2.8.0 wieder die Passwörter von passwortgeschützten Usenet-Uploads an den hauseigenen Indexer Newzbee übermittelt.
Wird mit Momentum ein passwortgeschützter Upload heruntergeladen und anschliessend in Momentum das Passwort fürs Entpacken eingegeben, so übermittelt Momentum das Passwort nach dem erfolgreichen Entpacken an Newzbee. Der passwortgeschützte Upload kann anschliessend sofort von allen Momentum-Benutzern ohne Eingabe eines Passwortes heruntergeladen werden und das Passwort wird sogar auch in Form eines Kommentars zum Upload angezeigt.
Dieses Verhalten betrifft nur Uploads, die mit Momentum über den Newzbee Indexer gesucht und dann direkt heruntergeladen werden.
Wird ein Download über den Import einer NZB-Datei gestartet, scheinen keine Daten an Newzbee übertragen zu werden.
Seit dem 14.12.2021 ist der Service unter HolmeZ.com nicht mehr erreichbar und es erscheint lediglich die Meldung „Sorry, we are closed Farewell !“. Der beliebte browser-basierte Newsreader hat von einem Tag auf den anderen den Dienst beendet . Nachdem erst der Newsreader unter HolmeZ.org Anfang 2019 beerdigt wurde, geht nun wohl auch der Webservice unter HolmeZ.com offline .
Der Momentum-Client, um den es hier geht, hat immer noch folgenden Wortlaut in seinem Imprint stehen:
Der zugehörige Indexer unter „newzbee.org“ bzw. „auth.newzbee.org“ besitzt zwar eine Web-GUI mit einem Registrierungsformular und einem Login. Dieser Dienst scheint aber nur ein Fake zu sein, wie es auch in diesem Thread nachzulesen ist!!
Wieso man aber für eine nicht mehr aktive Website, eine so große und kostspielige Infrastruktur einsetzt, wissen wohl nur die Betreiber selber?!
