YggTorrent : fin d'un empire et 30 Go de données exposées Fermeture de YggTorrent après un piratage massif révélant 30 Go de données et l’économie du site. YggTorrent dit adieu après un piratage massif qui expose 30 Go de données et révèle l’économie du site.
YggTorrent dit adieu après un piratage massif qui expose 30 Go de données et révèle l’économie du site. L’équipe affirme que la fermeture est provoquée par les actes des attaquants et non par un choix interne, et les éléments publiés détaillent le code source, les mots de passe et les échanges internes désormais accessibles.
Ce que révèle la fuite de données autour de YggTorrent
La fuite expose 30 Go de données brutes, dont 20 Go de bases de données et 14 Go dans le fichier ygg_tracker_redacted/torrents/data.sql, et 11 Go sous forme d’archive avant décompression. Au total, 30 Go de données décompressées ont été présentées comme contenues dans l’opération, avec des indications d’un chiffre d’affaires estimé autour de 10 millions d’euros pour 2024–2025 et un trafic évoqué à 6,6 millions d’utilisateurs. L’attaque est présentée comme ayant compromis l’ensemble de l’infrastructure : code source, bases de données du tracker, du forum, de la boutique, logs et mots de passe.
« 6,6 millions d’utilisateurs. Des années de mensonges. Un empire bâti sur le racket. C’est fini »
Selon l’auteur de la fuite, le groupe malveillant a aussi dérobé des portefeuilles crypto destinés au financement des serveurs.
Comment l’attaque a été menée et ce que révèle l’exfiltration
Selon les documents publiés, l’attaque est décrite comme une chaîne d’actions techniques. L’empreinte numérique du favicon aurait permis d’identifier l’IP du serveur de préproduction via Shodan, révélant une porte d’entrée. Un scan de ports a ensuite montré l’existence d’un service SphinxQL sur le port 9306 sans authentification, capable de lire des fichiers locaux. Sur les serveurs Windows déployés automatiquement, le fichier sysprep_unattend.xml contenait parfois le mot de passe administrateur, ce qui aurait dû être supprimé après le déploiement, mais ne l’a pas été. L’accès en lecture et écriture au stockage a été obtenu, ouvrant la porte à la suppression puis à l’exfiltration des données.
- Découverte d’un accès SphinxQL non protégé permettant de lire des fichiers locaux
- Exposition d’un fichier de déploiement contenant parfois le mot de passe administrateur
- Exfiltration et suppression des bases de données, et vol de portefeuilles crypto
Ce que cela implique pour les utilisateurs et la sécurité
YggTorrent affirme que les mots de passe étaient hachés et salés, sans préciser la technique utilisée. La CNIL considère MD5 obsolète, et il est recommandé de changer les mots de passe utilisés ailleurs si vous les employiez sur YggTorrent. Le groupe affirme avoir publié des données générales tout en effectuant des caviardages : aucune information sur les utilisateurs ne sera accessible ici, mais il est difficile d’évaluer précisément les risques une fois que l’ensemble des données circulera. Le modèle économique du site—à l’origine des ratios puis d’un abonnement—ressort comme élément central du récit, et cet épisode souligne les vulnérabilités associées aux plateformes centralisées.
Personnellement, ce cas montre qu’une architecture de partage communautaire peut devenir une faiblesse lorsque les contrôles de sécurité ne suivent pas. La fuite illustre aussi que des données sensibles peuvent circuler rapidement si des pratiques simples, comme la protection des comptes d’administration et des mots de passe, ne sont pas respectées.
Pour terminer
Cette affaire réinterroge la sécurité des trackers et les mécanismes de financement des services de partage. Le dossier, nourri par des documents et des échanges internes, reste en cours et soulève des questions sur les suites juridiques et les responsabilités des hébergeurs et des administrateurs. Il faudra surveiller les réactions des autorités et des communautés face à l’exfiltration massive et à l’ouverture potentielle de poursuites.
