Zero
Coinhive ha ammesso di una violazione della sicurezza leader di hacker dirottamento cryptocurrency di data mining script su siti web legittimi.
Il cryptocurrency di data mining fornitore di software, ha detto questa settimana che a circa 10 pm GMT il lunedi, la società ha ricevuto una nota dal suo provider di DNS, Cloudflare che ha avvertito Coinhive che il suo account era stato visitato da una minaccia attore.
Record DNS di coinhive.com era stato manipolato per reindirizzare le richieste per coinhive.min.js per un server di terze parti, contenente una versione modificata del file JavaScript con un hardcoded chiave del sito.
Il Coinhive Javascript incorporato dagli utenti nei loro siti web come un modo per la mia per il cryptocurrency Monero, ma gli aggressori erano in grado di dirottare questo script per garantire estratti i fondi sono entrati in un portafoglio hanno controllato anziché utente portafogli.
“Essenzialmente, questo consente all’utente malintenzionato di “rubare” gli hash dei nostri utenti,” Coinhive dice.
Lo script utilizzato per implementare cryptocurrency minatori nei domini del sito web è un nuovo, seppur controversa idea.
Di data Mining per la valuta virtuale viene esaminata come alternativa di annunci di terze parti come un modo per generare entrate e il Pirata della Baia di prova pilota che ha spinto l’idea sotto i riflettori.
A causa di un errore di codifica, gli utenti individuato il sito web minatore tirato enormi quantità di potenza di CPU da parte di un turista sistemi, piuttosto che dal 20 al 30 per cento, come originariamente previsto.
Seguenti visitatore del gioco, the Pirate Bay ammessi alla prova il minatore come un “modo per sbarazzarsi di tutti gli annunci.”
Altri partiti hanno iniziato l’esplorazione mineraria, troppo. Secondo un rapporto da Adguard, al 2,2 per cento del top di 100.000 siti web su Alexa elenco sono ora mining attraverso i Pc dell’utente — ma pochi si chiedono il permesso prima.
Coinhive minatori sono attualmente smesso di essere operativo da molti adblockers, ma per i siti web utilizzando il software di generare cassa, di perdere il loro hash sarebbe incontrato con fastidio.
Vedi anche: l’Imminente Bitcoin forchetta d’Oro accolta con scetticismo
Sembra che il Cloudflare le credenziali di un account può avere trapelato in Kickstarter violazione dei dati.
Torna nel 2014, gli hacker sono stati in grado di accedere ad alcuni account e rubare clienti nomi utente, indirizzi email, indirizzi postali, numeri di telefono e password criptate.
Dal momento che la password presi sono stati crittografati, può essere che Coinhive Cloudflare password è stata particolarmente debole e vulnerabile a un attacco di forza bruta.
La società, tuttavia, non è nulla se non onesti su dove la vera colpa sta.
“Abbiamo imparato hard lezioni sulla sicurezza e utilizzato 2FA e unica password per tutti i servizi, dal momento che, ma abbiamo dimenticato di aggiornare i nostri anni-vecchio account Cloudflare,” Coinhive dice. “Siamo profondamente dispiaciuti su questo grave svista.”
Fortunatamente per gli utenti, informazioni di account è trapelata e Coinhive del dominio web e server di database non sono state utilizzate.
Al fine di uniformare l’incidente di sicurezza, Coinhive piani di credito di tutti i siti web utilizzando lo script con un supplemento di 12 ore e ore della loro media giornaliera hashrate.
Precedente e relativa copertura
Pirate Bay utilizza il PC a mia cryptocurrency in missione per diventare ad-free 500 milioni di Pc vengono utilizzati per stealth cryptocurrency di data mining online Quanto costa Il Pirate Bay cryptocurrency minatore?
0