Coinhive a admis avoir été la victime d’une violation de la sécurité qui a conduit des pirates à détourner des scripts d'extraction de cryptomonnaie de sites Web légitimes vers des sites tiers. Dans un billet explicatif, la société a indiqué que :« Ce soir, le 23 octobre vers 22 h 00 GMT, un pirate a accédé au compte souscrit auprès de notre fournisseur DNS (Cloudflare). Les enregistrements DNS de coinhive.com ont été manipulés pour rediriger les demandes de coinhive.min.js vers un serveur tiers. Ce serveur tiers hébergeait une version modifiée du fichier JavaScript avec une clé de site codée en dur. Cela permet essentiellement à l'attaquant de "voler" des hachages de nos utilisateurs.
« Aucune information de compte n'a été divulguée. Nos serveurs Web et de base de données n'ont pas été accédés.
« La cause première de cet incident était un mot de passe incertain pour notre compte Cloudflare qui a probablement été divulgué avec la violation de données Kickstarter en 2014. Nous avons tiré des leçons de sécurité et utilisé 2FA et des mots de passe uniques avec tous les services, mais nous avons négligé notre compte Cloudflare vieux de plusieurs années. »
En conséquence, des milliers de sites dans le monde ont chargé le script modifié pour exploiter Monero pour le compte des pirates au lieu des propriétaires légitimes de sites. Les hackers auraient eu le contrôle du nom de domaine de Coinhive pendant environ six heures.
Il est intéressant de voir que l’entreprise n’avait pas pris le soin de changer son mot de passe. Sans parler de la mise en place la double authentification. Une sécurité qui aurait empêché ces infiltration et détournement. Aussi, l’entreprise a décidé d’en assumer entièrement les conséquences : « Nous cherchons des moyens de rembourser nos utilisateurs pour le manque à gagner de ce soir. Notre plan actuel est de créditer tous les sites avec 12 heures supplémentaires de leur moyenne quotidienne. S'il vous plaît, donnez-nous quelques heures pour le faire. »
Coinhive est un service qui a été lancé à la mi-septembre et permet aux propriétaires de sites de charger un fichier JavaScript sur leur site Web et d'extraire la cryptomonnaie Monero en utilisant les processeurs des ordinateurs de leurs utilisateurs. Le service a fait parler de lui notamment lorsque des sites de renom comme The Pirate Bay s’en sont servis.
Alors que le service se présente comme étant une entreprise légitime et une alternative possible aux annonces en ligne, le service est devenu un favori parmi les développeurs de logiciels malveillants.
Divers clones de Coinhive ont surgi sur Internet, et même Google explore actuellement les moyens de bloquer les mineurs de cryptomonnaies dans le navigateur après les abus répétés. Nombreux sont les utilisateurs qui considèrent les technologies comme celles de Coinhive comme étant malveillantes dès lors que les sites qui s’en servent ne demandent pas leur autorisation avant de se lancer dans l’extraction de la cryptomonnaie.
Source : Coinhive