Hitelkártya csalások, pénzmosás, más torrent oldalak elleni DDoS támadások. Több millió felhasználó, hamisnak tűnő online alteregók. Ez nem egy akció film, ez a legnagyobb francia torrentoldal, a YGGtorrent körüli most felszínre került történések egy része.

Az oldal gyakorlatilag megszűnt működni, miután 2026 márciusában egy Gr0rum nevű hacker kompromittálta az YGGtorrent teljes infrastruktúráját. A támadó megszerezte az oldal forráskódját és az adatbázisokat is, ezzel a teljes belső kommunikációt, szerver és fizetési logokat is. Mindezeket részben publikálta és egy egészen átfogó írásban bemutatja a torrentoldal mögött lévő szervezetet és annak működését. A támadás után az oldal leállt, azonban később újraindult. Jelenleg egy számláló látható rajta, illetve információ arról, hogy a trackert már újraindították így a torrentek adatcseréje zavartalan lehet a felhasználók között. A jelenlegi számláló több mint 4.5 millió peert mutat, ebből is látszik hogy milyen óriási oldal (volt?) a YGG.

A támadó (aki most itt jó fiú, vagy sem – ezt döntse el mindenki magában) elég súlyos állításokat fogalmaz meg. A leakben olvashatunk többek között arról, hogy az oldal “agresszív” módon követte a felhasználókat az oldalon (fingerprint), ami egyébként még nem feltétlen baj. De kiderült például az, hogy a konkurens oldalakat DDoS támadásokkal próbáltak ellehetetleníteni, illetve a támogatásokat, fizetéseket több lépésben, proxy oldalakon keresztül szedték be, majd forgatták át kriptó valutába.

Pénzügyek

A botrány előzmények, vagy katalizátorának tekinthető talán az, hogy az oldalon tavaly év végén bevezettek egy úgy nevezett “Turbó mód”-ot, ami drasztikusan korlátozta az ingyenes felhasználókat napi 5 letöltésre, ezzel terelve a felhasználókat a majdnem 90 eurós fizetős csomag irányába. Ez természetesen heves reakciókat váltott ki a felhasználókból, sőt egyes uploaderek, csapatok is nem tetszésüket fejezték ki. Ennek vége az lett, hogy az oldalról egyes release csapatokat kitiltottak.

Az oldal egyébként korábban is komoly bevételt termelt az üzemeltetőknek, a tavalyi év átlaga 150 ezer euro környéke volt, a Turbó mód bevezetése után a bevételek azonban megduplázódtak, megtriplázódtak. A pénzforgalom központja a CardsShield nevű WooCommerce plugin (ami havonta 800 euróba kerül, a legnagyobb csomagot használva) volt, ami lényegében automatizált módon rotálta a fizetési oldalakat kvázi e-kereskedelmi áruháznak álcázott proxy domainek között.

Ezt úgy kell elképzelni, hogy amikor a felhasználó a “támogatás” vagy “vásárlás” gombara kattint a YGG oldalán, készül egy rövid (15 perces) életű token és ezzel átirányítják egy véletlenszerű webshopba ami a CardsShield biztosit. Az itt történt vásárlás legyen az Paypal vagy pl Stripe egy szimpla pólóboltban történő vásárlásnak tűnik, nem pedig a YGG-nek való közvetlen fizetésnek. Az igy befolyt összegeket kriptovalutára váltják, majd a Tornado Cash nevű szolgáltatás segítségével kvázi elfedik a nyomokat, és a “tiszta” kriptó pénzt elutalják a végső tárcákba.

DDoS támadások

A támadó a szerveren bizonyítékokat talált arra, hogy az oldal a “versenytársakat” támadta. Név szerint a La Cale-t és Sharewood-ot (szintén francia torrent oldalakat) célzottan támadták bér DDoS szolgáltatáson keresztül. Mindezt az orosz stresscat.ru nevű oldal segítségével csinálták.

Vége, vagy sem?

Az oldal a támadás után leállt, azonban úgy tűnik valamilyen formában újra fog indulni. A logo-ban a torrent szó át van húzva, így gyanítható hogy nem csak egy sima tracker újraindítást terveznek. A leak információ alapján egyébként több új projekten is dolgoztak a YGG torrentnél, elképzelhető hogy ezek közül, vagy ezek felhasználásával fog valami új oldal elindulni.

Akit egyébként érdekelnek a (technikai) részletek ajánlom a forrás oldalt olvasgatni, igazán tanulságos. Benne van a YGG torrents teljes infrastruktúrája, a staff hálózata, felépítése és működése, sőt az is elég részletesen le van írva, hogy milyen hiba kihasználásával jutott be végül a támadó.