Рубрика: Криминал

Хакеры захватили майнер Coinhive через давний пароль

Компания Coinhive допускает наличие пробелов в защите своего программного обеспечения, что привело к тому, что хакеры захватили скрипты для майнинга криптовалют, легально установленные на некоторых сайтах.

На этой неделе поставщик программного обеспечения для разработки цифровых валют заявил, что в понедельник, примерно в 10 часов вечера по всемирному времени, фирма получила сообщение от своего поставщика DNS Cloudflare, которая предупредила Coinhive, что её аккаунт был взломан злоумышленником.

Записи DNS coinhive.com были подтасованы для перенаправления запросов для директивы coinhive.min.js на сторонний сервер, содержащий модифицированную версию файла JavaScript со встроенным ключом сайта.

Coinhive Javascript встраивается пользователями на их веб-сайты в качестве способа майнинга криптовалюты Monero, однако злоумышленники смогли захватить этот скрипт, чтобы заработанные средства могли прийти в кошелёк, который будет контролироваться ими.

«Это, по сути, позволяет злоумышленнику украсть хэш-мощности пользователей», — говорит Coinhive.

Сценарий реализации криптовалютных майнеров на доменах веб-сайтов, является новой, хотя и противоречивой идеей.

Майнинг виртуальных валют рассматривается как альтернатива сторонней рекламе для получения дохода. Идея попала в центр внимания после того, как пользователи обнаружили такое же программное обеспечение, встроенное в код торрент-сайта Pirate Bay.

Из-за ошибки кодирования, пользователи заметили на сайте майнер, который требовал огромное количество мощности от процессоров посетителей – больше на 20-30 % чем обычно.

После ответной негативной реакции посетителей, Pirate Bay призналась, что тестировала майнер — как «способ избавиться от всей рекламы на сайте».

Другие вебсайты также начали изучать майнинг. Согласно отчёту Adguard, 2,2% из топ 100 000 веб-сайтов из списка Alexa теперь ведут майнинг с помощью пользовательских ПК, и лишь немногие просят предварительного разрешения.

Майнеры Coinhive в настоящее время пресекаются блокировщиками рекламы, однако сайты, использующие такое программное обеспечение для генерации денежных средств, скорее всего, встретят это с досадой.

Похоже, что учётные данные на Cloudflare подверглись утечке при взломе Kickstarter.

В 2014 году хакеры смогли получить доступ к некоторым учетным записям и украсть имена пользователей, адреса электронной почты, почтовые адреса, номера телефонов и зашифрованные пароли.

Хотя украденные пароли были зашифрованы, возможно, что пароль Coinhive на Cloudflare оказался слабым и восприимчивым к атаке.

Однако компания честно говорит о некотором «недосмотре».

«Мы усердно изучили уроки безопасности и использовали 2FA и уникальные пароли во всех сервисах, но мы пренебрегли обновлением нашего давнего аккаунта на Cloudflare, — говорит Coinhive. «Мы очень сожалеем об этом недосмотре».

К счастью, не было утечки информации, касающейся учётных записей пользователей, и не было доступа к веб-доменам и серверам баз данных Coinhive.

Чтобы сгладить инцидент, Coinhive планирует кредитовать все «пострадавшие» веб-сайты дополнительными 12 часами их среднесуточного хэшрейта.

Источник

[ ОБСУДИТЬ НА ФОРУМЕ ]

Coinspot

Недавние сообщения

Как это устроено: блокчейн – принцип работы, сферы применения и перспективы

Блокчейн сегодня прочно занял место в цифровой экономике и стал неотъемлемой частью финансового и технологического…

4 недели тому назад

Мемкоины: от шуток в интернете до многомиллиардного рынка

Криптовалюты давно стали частью финансового мира, однако не все активы этого цифрового пространства имеют серьезное…

2 месяца тому назад

Как это устроено: MicroBT Whatsminer M60S+ 200 TH/s

В последние годы майнинг криптовалют становится все более сложной и высококонкурентной деятельностью. Постоянно появляются новые…

3 месяца тому назад

Обучение трейдингу криптовалют: назначение, возможности и советы экспертов

Криптовалюты стали неотъемлемой частью современного финансового рынка, привлекая внимание не только инвесторов, но и новичков,…

3 месяца тому назад

Знакомьтесь, Стейблкоин: стабильность в мире криптовалют

В эпоху цифровой экономики и стремительного развития криптовалют стейблкоины становятся важным элементом финансовой экосистемы. Эти…

3 месяца тому назад

Как это работает: изучение английского языка по аудиокнигам

Тем, кто только начал изучать английский язык, важно понять основы: это грамматика, лексика и произношение.…

4 месяца тому назад