.
Casa > Pirataria >
Pelo menos três grandes sites de torrent estão atualmente expondo detalhes íntimos de suas operações para qualquer pessoa com um navegador da web. O Strong The One entende que os sites usam um software que captura conteúdo novo de outros sites antes de carregá-lo automaticamente em seus próprios sites. Um pesquisador de segurança tentou dar o alarme, mas ninguém quis ouvir.
Sites de torrent privados, ou rastreadores privados, como são comumente conhecidos, são projetados para serem de difícil acesso.
Em muitos casos, os membros em potencial precisarão de um convite de alguém que já seja membro, embora alguns sites abram suas portas quando as pessoas abrirem suas carteiras. Isso representa um desafio para as pessoas que desejam fornecer informações valiosas e urgentes, mas precisam pagar para fazê-lo.
Antecedentes e Dilema
Apenas algumas horas atrás, o Strong The One recebeu uma dica bastante detalhada de um pesquisador de segurança que prefere permanecer anônimo. As informações referem-se diretamente a três rastreadores privados principais/conhecidos e seus usuários, mas pelas evidências apresentadas, o desastre de segurança também expõe outros sites.
A pesquisadora nos procurou com a história porque, depois de tentar chamar a atenção dos operadores dos sites, mesmo por meio de outros sites que possam encaminhar a mensagem, nada foi feito. Surpreendente, dada a escala do problema.
O objetivo do pesquisador é proteger os usuários dos sites, mas se nomearmos publicamente os sites aqui, isso não dará tempo suficiente para os administradores ouvirem sobre as notícias e preencherem as lacunas. Em vez disso, forneceremos informações suficientes para que os operadores dos sites reconheçam seu próprio site por dentro e, um minuto depois, o problema deve ser corrigido.
A Questão de Segurança
Para obter os lançamentos mais recentes o mais rápido possível, os rastreadores geralmente contam com fontes externas que têm acesso ao chamado conteúdo de dia 0, ou seja, conteúdo lançado hoje. Os três sites afetados parecem ter pouca dificuldade em obter parte de seu conteúdo em minutos. Pelo menos em parte, isso é alcançado por meio da automação.
Quando fornecedores externos de conteúdo são outros sites de torrent, um software chamado Torrent Auto Uploader entra em ação. Ele pode baixar automaticamente torrents, descrições e arquivos NFO associados de um site e carregá-los em outro, completo com um novo arquivo .torrent contendo URL de anúncio do rastreador.
A página de gerenciamento acima foi fortemente editada porque o conteúdo tem o potencial de identificar pelo menos um dos sites. É uma interface da web, sem proteção por senha e facilmente acessível por qualquer pessoa com um navegador da web. O mesmo problema afeta pelo menos três servidores diferentes operados pelos três sites em questão.
Interface da Web para clientes de torrent
O Torrent Auto Uploader depende de clientes de torrent para transferir conteúdo. Os três sites em questão usam clientes rTorrent com uma interface de usuário da Web ruTorrent. Sabemos disso porque o pesquisador enviou várias capturas de tela e informações de suporte que confirmam o acesso aos clientes de torrent, bem como ao software Torrent Auto Uploader.
A imagem acima mostra redações na guia do rastreador por um bom motivo. Em uma configuração regular, os usuários de torrent podem ver os nomes dos rastreadores que coordenam seus downloads. Essa configuração não é diferente, exceto que esses URLs fazem referência a três rastreadores diferentes que fornecem o conteúdo para um dos três sites comprometidos.
Pode ficar pior?
Em vez de publicar uma sequência de capturas de tela completamente redigidas, tentaremos explicar o que elas contêm. Um começa com uma solicitação GET para outro rastreador, que responde com um arquivo torrent. Em seguida, ele é carregado no site solicitante, que atualiza seu banco de dados SQL de acordo.
A partir daí, o script começa a verificar se há novas entradas em um feed RSS específico que está oculto em outro site que não tem nada a ver com torrents. O feed é protegido por uma senha, mas isso só é útil quando ninguém sabe o que é.
A mesma falha de segurança também concede acesso direto a um dos ‘bots’ do rastreador de sites por meio do painel que o controla.
Em seguida, há acesso às ‘Ferramentas da equipe’ na mesma página, que se conectam a outras páginas, permitindo alterações de nome de usuário, análises de aplicativos de upload e uma lista de usuários malcomportados que precisam ser monitorados. Isso inclui os perfis dos usuários, o número de torrents que eles têm ativos e tudo o mais que se possa imaginar.
Outra captura de tela com um torrent relacionado a um filme de 2022 revela o URL de outro rastreador de fornecedor terceirizado. Algumas consultas básicas nesse URL levam a ainda mais sites de torrent. E a partir daí, mais e mais e mais – revelando senhas de torrent para cada um no caminho.
Falhas de segurança precisam ser corrigidas mais cedo ou mais tarde, mas obter operadores neste nicho é difícil por design. Os usuários de todos os sites podem querer fazer um pouco de barulho na esperança de que os três que importam realmente façam alguma coisa.
Atualizar: Dois desligados, um para ir
.
