Операторы сервиса CoinHive, который предоставляет владельцам сайтов возможноcть встроить скрипты для майнинга криптовалюты прямо в код ресурса, подвергся кибератаке.
В официальном блоге разработчики сообщили, что неизвестные злоумышленники сумели проникнуть в аккаунт Cloudflare, принадлежащий CoinHive, где изменили настройки DNS для coinhive.com. В результате файл coinhive.min.js загружался с сервера злоумышленников, и эта модифицированная версия похищала все хеши пользователей, то есть Monero получали взломщики, а не владельцы сайтов, где работает скрипт. Атака продолжалась около шести часов, но сколько за это время успели «заработать» злоумышленники, не сообщается.
Также представители CoinHive объясняли, как злоумышленники узнали учетные данные от аккаунта Cloudflare. ИБ-специалисты не устают повторять, что повторное использование паролей – это очень плохая практика, однако их никто не слушает. Так произошло в и этом случае. Операторы сервиса полагают, что пароль, который компания использовала для Cloudflare, "утек" в открытый доступ еще в 2014 году, во время инцидента с Kickstarter.
«Мы усвоили трудный урок о безопасности, использовали двухфакторную аутентификацию и уникальные пароли для всех сервисов, однако не озаботились обновлением нашего аккаунта Cloudflare столетней давности», — признают разработчики.
В настоящее время все последствия атаки уже устранены, а CoinHive работает в штатном режиме. Компания планирует компенсировать пострадавшим убытки, предоставив 12 часов бесплатного пользования сервисом.