Nul
Coinhive har indrømmet, at et sikkerhedsbrud, der fører til hackere kapring cryptocurrency minedrift scripts på legitime websteder.
Den cryptocurrency mining software udbyder, sagde i denne uge, at på ca 10 pm GMT mandag, virksomheden har modtaget en note fra sin DNS-udbyder, Cloudflare, som advarede om, Coinhive, at dets konto var blevet åbnet af en trussel skuespiller.
De DNS-poster for coinhive.com var blevet manipuleret til at omdirigere anmodninger om coinhive.min.js til en tredje-parts server, der indeholder en modificeret version af JavaScript-fil med en hardcodede site nøgle.
Den Coinhive Javascript er indlagt af brugere i deres hjemmesider som en måde at udvinde for cryptocurrency Monero, men angriberne var i stand til at kapre dette script til at sikre, udvundet midler ind i en pung, de kontrollerede snarere end brugeren tegnebøger.
“Dette væsentlige lade angriberen “stjæle” hashes fra vores brugere,” Coinhive siger.
Det script, der anvendes til at gennemføre cryptocurrency minearbejdere i hjemmeside-domæner er en ny, om end kontroversiel idé.
Minedrift for virtuel valuta er ved at blive undersøgt som et alternativ til tredjeparts-annoncer som en måde at generere indtægter, og det var the Pirate Bay ‘ s pilot-forsøg, som drives ideen i søgelyset.
På grund af en programmeringsfejl, brugere opdagede denne hjemmeside er miner, da det trak enorme mængder af CPU-kraft fra besøgende systemer, snarere end 20 til 30 procent, som det oprindeligt var tiltænkt.
Følgende besøgende modreaktion, the Pirate Bay, der er optaget til test miner som en “måde at slippe af med alle de annoncer”.
Andre partier er begyndt at udforske minedrift, også. Ifølge en rapport fra Adguard, 2,2 procent af de øverste 100.000 websites på Alexa liste, der er nu minedrift gennem bruger-Pc ‘ er — men få er at spørge om lov først.
Coinhive minearbejdere er i øjeblikket stoppet fra at operere med mange adblockers, men for hjemmesider ved hjælp af softwaren til at generere penge, miste deres hashes ville sandsynligvis blive mødt med irritation.
Se også: Overhængende Bitcoin Guld gaffel mødt med skepsis
Det ser ud til, at Cloudflare konto legitimationsoplysninger, der kan have været lækket på Kickstarter data breach.
Tilbage i 2014, hackere var i stand til at få adgang til visse konti og stjæle kunden brugernavne, e-mail-adresser, postadresser, telefonnumre og krypterede adgangskoder.
Da de adgangskoder, der blev truffet, var krypteret, kan det være, at Coinhive er Cloudflare adgangskode var særlig svag og modtagelig for et brute-force angreb.
Virksomheden, men der er intet, hvis ikke ærlige om, hvor den sande skylden ligger.
“Vi har lært hårde lektioner om sikkerhed og bruges 2FA og unikke passwords med alle tjenester siden, men vi har forsømt at opdatere vores år gamle Cloudflare konto” Coinhive siger. “Vi er dybt ked af det alvorlige tilsyn.”
Heldigvis for brugere, der ikke hensyn til oplysninger, som blev lækket og Coinhive ‘ s web-domæne og database-servere ikke var adgang til det.
For at glatte over sikkerhedshændelse, Coinhive planer om at kreditere alle hjemmesider ved hjælp af scriptet med yderligere 12 timer af deres daglige gennemsnitlige hashrate.
Tidligere og relaterede dækning
Pirate Bay bruger din PC til mine cryptocurrency i søgen efter at blive annonce-gratis 500 millioner Pc ‘er bliver brugt til stealth cryptocurrency minedrift online Hvor meget koster The Pirate Bay’ s cryptocurrency miner gøre?
0