Momentum Usenet Reader kommuniziert über Hintertür mit NewZBee

Mich hat gerade eine Dame von Momentum angerufen. Sie schickt mir eine E-Mail mit der Bitte um Ergänzung und/oder Korrektur meines Beitrages…

Da bin ich ja mal gespannt, was in dieser Mail drinsteht!? :wink: Die wollen bestimmt, dass das mit der Verbindung zu NewZBee rausfliegt…

Bislang kam noch gar nichts. Ich habe aber mit anderen Mitarbeitern auf Deutsch kommuniziert, diese Dame konnte nur sehr gebrochenes Deutsch, wir haben dann Englisch gesprochen. Auch wusste sie nichts über meine Zeitzone und dachte, es wäre schon mitten in der Nacht. Komisch, ruft man dann jemanden an wenn man davon ausgeht, den in der Nachtruhe zu stören? Okay, ich muss ja nicht alles verstehen… :wink:

Ich schmeiße es einfach mal hier rein: Screenshot (11)

1 „Gefällt mir“

Ahaa…Momentum meldet sich auch noch zu Wort. Mit den Änderungen aus Punkt 2 und 3

  1. To ensure maximum data security within the company, we have published an update from Momentum. Since the release of version (1.7.2) published on April 28, 2020 Momentum no longer uses the password of the respective Usenet login to log in to NewZBee. As already mentioned, the login data was never passed on to third parties . The privacy of our users is our highest priority and has always been granted.
  2. We have also deactivated the forwarding of NZB files to the NewZBee index until further notice.

…ist doch nun das erreicht, was die Fileleechers mit ihrer Analyse bemängelt hatten!

Allerdings widerspricht man sich in dem Text doch selber!

In the news there are currently reports about the limited accessibility of www.usenext.com. Since we are not connected to this service, we cannot make any statements about the facts.

Momentum only accesses an API from UseNeXT for a feature called free download mode.

Was denn jetzt…entweder man hat null Verbindung zu einem Service, oder halt doch!?

Furthermore, we would like to rule out that we have been infiltrated in any way. In order to guarantee the maximum possible protection of users, we are currently conducting an independent and precautionary review of our software.

So ganz sicher ist man sich anscheinend selber nicht, oder warum sonst die Prüfung der Software? Hinzu kommt noch, dass ausgerechnet gestern ein Update für den Client bzw. eine neue Version herauskam! Ein Schelm, der… :wink:

2 „Gefällt mir“

Das Update von Momentum hat sich Tensai auch schon angesehen. Ich zitiere ihn hier mal:

„In Version 1.7.2 werden Username und Passwort immer noch übertragen. Einfach gehashed. Aber für was brauchen die das??? Der Upload der NZB-Dateien und der dazugehörigen Passwörter ist nach wie vor drin. Also Finger weg davon. Das Verbot für die Benutzung besteht für User hier im Board weiterhin. Wer Momentum benutzt und wir finden es raus (und das werden wir), fliegt.
Gruss, Tensai“

Nachdem ja die Parteien behauptet haben, nichts miteinander zu tun zu haben, hat mich dann aber folgendes etwas überrascht!!
Usenext hat eine Übergangslösung am 29.04. präsentiert, die über einen Server eines Drittanbieters läuft. So weit, so gut…
Für die Nutzung dieser Lösung hat man eine Anleitung veröffentlicht. Der Titel lautet:

Anleitung für die Benutzung von Momentum mit Deinem UseNeXT-Account während der Wartungsarbeiten

Mit Hilfe der folgenden Anleitung kannst Du den Momentum-Client mit Deinem UseNeXT-Account weiterhin nutzen.

https://usenext.de/momentum/de.html

Von anderen Newsreadern wird da keine Silbe erwähnt. Als ob man mit denen keine Probleme hätte? Strategisch halte ich das mal für Poppes bei der Gerüchteküche!! :rofl:

Unser Informant schreibt zum Homez/Momentum Statement:

Momentum hat ohne Erlaubnis oder Wissen des Benutzers Daten an seine eigene API gesendet, welche weder für die Funktion noch für die Verbesserung der Software notwendig sind. Auch wenn HolmeZ diese Daten nicht weitergegeben hat, sind diese nun im Besitz von HolmeZ und stellen ein Sicherheitsrisiko dar, insbesondere wenn z.B. HolmeZ selbst gehackt werden würde. Software, welche ungefragt mehr Daten als notwendig speichert oder abgreift IST Malware. Punkt!

Das „Sicherheits-Update“ (Version 1.7.2) behebt die grundsätzlichen Mängel nicht. Z.Z. ist die NewzBee API zwar auch offline, potentiell werden aber - sobald die API wieder funktioniert - nach wie vor Username zum Provider, Password zum Provider, Host des Providers und Port an NewzBee.org übertragen. Username und Passwort werden nun zwar „nur“ noch als Hash übertragen, es stellt sich dennoch die Frage, warum diese Daten überhaupt übertragen werden müssen. Das Update von Momentum zielte im Übrigen hauptsächlich darauf, Momentum auch ohne NewzBee API lauffähig zu machen. Sobald die API aber wieder aktiviert ist, kann Momentun nach wie vor mit dieser komunizieren.

Der ganze Code zur Übertragung von NZB-Dateien und dem dazugehörigen Passwort ist in Version 1.7.2 nach wie vor vorhanden. Ob das tatsächlich deaktiviert wurde und auch so bleiben wird, wird sich erst zeigen, wenn die NewzBee API wieder online ist.

Grundsätzlich hat HolmeZ mit diese Statement indirekt zugegeben, dass dieAnschuldigungen korrekt sind und versucht sich nun rauszureden.

Nachtrag: Zudem wird für Username und Passwort der als inzwischen unsicher angesehene MD5 Hash-Algorithmus verwendet, welcher geknackt werden kann. Die Daten sind also keineswegs sicher, nur weil sie gehashed wurden.

Das aktuelle Statement des Anbieters haben wir hier auch gebracht.

@Ghandy - Euer Informant?

Das hat Tensai vor kurzem gepostet bei FileLeechers:

" Was tatsächlich stimmt, ist, dass Momentum oder HolmeZ ziemlich Sicher nichts mit dem Angriff auf Usenext, Usenet.nl und Save.tv zu tun haben. Dass meine Entdeckung und der Angriff fast zeitgleich statt fanden, war reiner Zufall.

Zu den 3 Punkten oben aber folgendes:

  1. Momentum hat ohne Erlaubnis oder Wissen des Benutzers Daten an seine eigene API gesendet, welche weder für die Funktion noch für die Verbesserung der Software notwendig sind. Auch wenn HolmeZ diese Daten nicht weitergegeben hat, sind diese nun im Besitz von HolmeZ und stellen ein Sicherheitsrisiko dar, insbesondere wenn z.B. HolmeZ selbst gehackt werden würde. Software, welche ungefragt mehr Daten als notwendig speichert oder abgreift IST Malware. Punkt!
  2. Das „Sicherheits-Update“ (Version 1.7.2) behebt die grundsätzlichen Mängel nicht. Z.Z. ist die NewzBee API zwar auch offline, potentiell werden aber - sobald die API wieder funktioniert - nach wie vor Username zum Provider, Password zum Provider, Host des Providers und Port an NewzBee.org übertragen. Username und Passwort werden nun zwar „nur“ noch als Hash übertragen, es stellt sich dennoch die Frage, warum diese Daten überhaupt übertragen werden müssen. Nachtrag: Zudem wird der als inzwischen unsicher angesehene MD5 Hash-Algorithmus verwendet, welcher geknackt werden kann. Die Daten sind also keineswegs sicher, nur weil sie gehashed wurden.
    Das Update von Momentum zielte im Übrigen hauptsächlich darauf, Momentum auch ohne NewzBee API lauffähig zu machen. Sobald die API aber wieder aktiviert ist, kann Momentun nach wie vor mit dieser komunizieren .
  3. Der ganze Code zur Übertragung von NZB-Dateien und dem dazugehörigen Passwort ist in Version 1.7.2 nach wie vor vorhanden . Ob das tatsächlich deaktiviert wurde und auch so bleiben wird, wird sich erst zeigen, wenn die NewzBee API wieder online ist.

Grundsätzlich hat HolmeZ mit diesem Statement indirekt zugegeben, dass meine Anschuldigungen korrekt sind und versucht sich nun rauszureden.

Fakt bleibt:

Momentum IST Malware!

Gruss, Tensai"

Übrigens gibts schon seit kurzem von Momentum eine Version 1.7.3. Jetzt kommen da Updates Schlag auf Schlag. :rofl:

Hallo Takko,
Wir können mit hoher Wahrscheinlichkeit davon ausgehen, dass weder Momentum noch HolmeZ Teil des Problems sind. Wir sind als Access Provider unserer Pflicht nachgegangen und haben Drittanbieter über den Vorfall informiert. Im Zuge dessen haben auch Drittanbieter im Rahmen Ihrer Sorgfaltspflicht Services auf den Prüfstand gestellt. Dies kann dazu führen, dass auch deren Services zeitweise nicht zur Verfügung stehen. Wir werden unseren Service nach einer ausführlichen Prüfung wieder hochfahren und Schritt für Schritt auch wieder für Drittanbieter zugänglich machen. Oberste Priorität haben dabei immer die Sicherheit unserer Nutzer und deren Daten.

UseNeXT Germany

@takko Ja, er hat sich mir in den E-Mails nicht namentlich vorgestellt. Ich bin aber sowieso davon ausgegangen, dass es ein und dieselbe Person war. :wink:

@Ghandy - hast Du kein Account bei FileLeechers? Gehe ich mal von aus, sonst hättest Du ja gewusst wer die Programme analysiert. Und so lieb die Leute bei SoU sind, da hat niemand irgendetwas getestet. Wobei ich wirklich denke, Du solltest in allen Boards (6 Stück sage ich mal) einen Account haben, damit Du richtig recherchieren kannst und nicht auf „Hörensagen“ angewiesen bist.

Bin auch nicht sicher ob Du das von Tensai geschickt bekommen hast. Bei Tensai steht: „dass meine Anschuldigungen korrekt“, bei Deinem Informanten steht „dass dieAnschuldigungen korrekt“ - inklusive fehlendem Space.
Falls Dir Accounts fehlen frag doch bei denen mal so höflich an, wie Du das gerade mit HoU gemacht hast. Bin sicher das geht.

– no comment –

https://tarnkappe.info/forum/t/usenext-abgeschaltet-usenet-nl-down-was-ist-da-los/3786/4

i.A.

Hallo
Bei Momentum werden Username und Passwort immer noch übertragen. Der Upload der NZB-Dateien und die dazugehörigen Passwörter sind nach wie vor drin.

@UseNeXTGermany und was ist nochmal mit dem ganzen boardcontent den momentum in klarnamen umbenannt und passwort frei getipselt hat, damit eure user einfach nur klicken mussten um sich die uploads runterzuladen??

meine meinung:
die boards sollten alle usenext-, momentum- und konsortenuser raus werfen und ihr solltet anfangen euch um eure user selbst zu kümmern und nicht die anderen die arbeit machen lassen.

kuck doch mal an wie sie jetzt um passwörter jammern. das ausmaß der passwortratte momentum, was sich jetzt zeigt, ist ungeheuerlich (das geht jetzt schon über stunden so - alles pw jammerer).

bsp.: die ganzen klarnamen die in den nextkommentare die in der übersicht laufen (s.u.), sind alles boardups (wo max. der header in zahlen zu sehen sein sollte). die sind alle von euch intern umbenannt und mit pw freigetipselt worden, dass man sie mit euren dl-managern (tangy/momentum/holmez) laden kann. ist das nicht etwas zu einfach?? ihr nutzt die mühen und den content von anderen um den nextusern deren content zur verfügung zu stellen, damit ihr euch eine goldene nase verdienen könnt - echt jetzt.

next

alles boardups wo eigentlich nur der header zu sehen sein sollte → bitte um stellungname :smiley: ich bin gespannt wie ihr euch da rauslügen wollt.

wenn alles wieder läuft und keiner mehr etwas mitbekommt von euren passwort ratten ist wohl aus eurer sicht alles ausgesessen und der rest hält wieder die klappe?? aber da irrt ihr euch, ich kann nur hoffen dass die restlichen verbliebenen usenetboards die jagdt auf eure nextuser eröffnen um dem rattenproblem endgültig den gar auszumachen. wie man in den wald hinein ruft, so schallt es wieder heraus.

lg dackel

ps: liebe boards macht eure reg. zu. ddos attacken waren gestern - jetzt kommt die nextdau - welle. die überfluten euch mit wünschen, fragen, hilfen und dann könnt ihr zu machen weil ihr von innen heraus lahm gelegt wurdet :smiley: . da müsst ihr bei copy&paste ganz am anfang beginnen bei dieser spezies und die erwarten auch dass sie alles mit dem silberlöffel in den popo geschoben bekommen. die klauen gewerbsmäßig euren content (und next&coverdient dabei kohle ohne ende) - ich würde mir wünschen das man das problem jetzt endgültig (alle boards zusammen) angeht. wenn nicht jetzt wann dann?

jeder dauuser ist auch ein potentielles perönliches sicherheitsrisiko für alle anderen also für uns alle.

//edit 10.00 uhr

was für ein riesen außmaß - nur noch am betteln

1 „Gefällt mir“

– no comment –

https://tarnkappe.info/forum/t/usenext-abgeschaltet-usenet-nl-down-was-ist-da-los/3786/22

Ich habe der Dame noch zwei Rückfragen gestellt. Ob ich eine Antwort kriege?

Hello Samantha,

I have two more questions:

In version 1.7.3 of the Momentum Client, the host address and username of the Usenet provider access are still transferred to NewZBee.org. What is this information transferred for? Why is the user of the software not informed about it? Does this comply with the EU privacy policy?

In version 1.7.3 of the Momentum Client, the code for uploading imported NZB files including the password (if any) to NewZBee.org is still available. The feature seems to be disabled, but why wasn’t this code deleted?

Punkt 2 hat sich inzwischen jedoch erledigt. Es kam heute eine neue v1.7.4 heraus und da wurde (als einzige Änderung!) die Funktion zum Upload der NZB-Datei und des dazugehörigen Passworts tatsächlich aus dem Code entfernt. Mein Kontakt ist gerade erst fertig geworden mit der Analyse des Codes.

Wichtige Informationen

In Bezug auf aktuelle Falschmeldungen zum Newsreader Momentum nehmen wir hierzu Stellung und fordern etwaige Seiten und Seitenbetreiber dazu auf, Falschmeldungen richtig zu stellen. Es ist mit absoluter Sicherheit zu sagen, dass der Newsreader Momentum nicht Teil des Problems ist.

In den Nachrichten kursieren derzeit Meldungen zur eingeschränkten Erreichbarkeit von www.usenext.com. Da wir eine unabhängige juristische Person sind, können wir keine Aussagen zum Sachverhalt machen. Newsreader und explizit Momentum sind in keiner Weise Teil des Problems. Um Zugang zu bestimmten Funktionen der Anbieter zu gewährleisten, müssen wir manchmal eine Verbindung zu ihren Diensten herstellen. Im Fall von UseneXT ist der Free Download-Modus ein solches Feature. Da deren API derzeit nicht verfügbar ist, gibt es auch Einschränkungen bei der Nutzung von Momentum.

Auch wenn wir im Moment keine Anzeichen dafür haben, dass wir infiltriert worden sind, schätzen wir die Privatsphäre unserer Nutzer . Aus diesem Grund haben wir NewZBee als Präventivmaßnahme abgeschaltet und prüfen alle unsere Systeme. NZBindex.nl steht aber wie gewohnt als Index zur Verfügung. Dies bitten wir zu entschuldigen. Wir können versichern, dass daran mit Hochdruck gearbeitet wird.

Des Weiteren nehmen wir Stellung zu aktuellen Meldungen in Verbindung mit der Sicherheit von Momentum

  1. Momentum ist keine Malware und hat nie unerlaubt im Hintergrund mit externen Diensten kommuniziert . Die HolmeZ SoftSolutions Pte. Ltd. ist Betreiber und Herausgeber der Newsreader Momentum und Holmez sowie des Indexdienstes NewZBee. Eine Kommunikation der Newsreader aus dem eigenen Haus in Richtung NewZBee Index fand somit immer nur innerhalb des eigenen Unternehmens statt und diente der Verbesserung der Anwendung. Gegensätzliche Meldungen sind sachlich nicht korrekt.
  2. Um auch innerhalb des Unternehmens eine maximal mögliche Sicherheit gewährleisten zu können, haben wir ein Update von Momentum veröffentlicht. Damit nutzt Momentum seit der am 28.04.2020 veröffentlichten Version (1.7.2) das Passwort des jeweiligen Usenet-Logins nicht mehr zur Anmeldung bei NewZBee. Wie bereits erwähnt, kam es dabei niemals zu einer Weitergabe der Login-Daten an Dritte . Die Privatsphäre unserer Nutzer hat für uns oberste Priorität und wurde immer gewährt.
  3. Darüber hinaus haben wir bis auf Weiteres eine Weiterleitung von NZB-Dateien an den Index NewZBee deaktiviert.

Seit einigen Stunden zu lesen bei:

https://plus.momentum-client.com/indexDE.html

:sunglasses: :fu:

:rofl: :rofl: :rofl: :rofl: :rofl: :rofl:

Dann haben die aber den falschen Server abgestellt :bangbang: :bangbang: :bangbang: :bangbang: :bangbang:

https://auth.newzbee.org/

:smiling_face_with_three_hearts:

1 „Gefällt mir“

NACHTRAG 02.05.2020:

It is highly recommend to uninstall this newsreader and change the password of your usenet provider!
Thanks to ‚Tensai‘ who checked the source code of Momentum.
In addition he also uploaded this image which shows the uploaded data:

He kindly also showed the source code that is uploading your provider credentials:

this.createNewToken = (e, t = null) => Object(Wm.__awaiter)(this, void 0, void 0, (function* () {
const n = this.dexieService.config();
if (this.tokenRefreshInProgress) {
for (; this.tokenRefreshInProgress;) console.log("waiting for new token"), yield this.delay(300);
return Promise.resolve(n.newzBeeToken)
}
this.tokenRefreshInProgress = !0, console.log("Create NewzBee Token");
let i = null;
if (this.dexieService.isLoggedIn() || e) {
const e = n.newsServer();
i = new Uw({
encoder: new mS
})
.set("grant_type", "usenet_credentials")
.set("username", e.username)
.set("password", e.password)
.set("host", e.host)
.set("port", e.port.toString())
.set("usessl", e.use_ssl ? "true" : "false")
.set("validate", "false")
.set("client_id", this.writeToLog(null))
.set("client_secret", this.removeFromLog(null))
} else i = new Uw({
encoder: new mS
})
.set("grant_type", "client_credentials")
.set("client_id", this.writeToLog(null))
.set("client_secret", this.removeFromLog(null));
null != t && (i = i.append("nickname", t), i = i.append("preferExistingNickname", "false"));
try {
const t = yield this.http.post(this.authURL, i.toString(), {
headers: (new Yw)
.set("Content-Type", "application/x-www-form-urlencoded")
})
.toPromise(), r = new ap(t);
return n.newzBeeToken = r, yield this.loadUserData(e), this.dexieService.triggerSaveConfig(), this.tokenRefreshInProgress = !1, Promise.resolve(t)
} catch (r) {
return this.tokenRefreshInProgress = !1, 400 === r.status && null === t && this.dexieService.isLoggedIn() ? (this.dexieService.logoutEvent.emit(), Promise.reject(this.translationService.instant("global_api_error"))) : this.handleError(r)
}
}))

1 „Gefällt mir“