還記得Coinhive嗎?這項技術創建於 2017 年,允許網站管理員插入 Javascript 程式碼,該程式碼將利用網路使用者電腦的運算能力來挖掘門羅幣,這是比特幣的替代加密貨幣。現場海盜灣是最早使用它的人之一,只是為了減少對廣告的依賴。
從那時起,Coinhive 獲得了極大的關注,並且可以在越來越多的網站上找到挖掘程式碼。但這種對門羅幣的熱衷不可避免地會引起慾望,不可避免地會吸引一些強盜。兩天前,駭客成功劫持了所有已部署腳本的運算能力長達幾個小時,結果讓 Coinhive 用戶獲得了一筆小額獎金。
長期未更改的密碼
他們是怎麼做到的?駭客設法修改了 Coinhive 使用的 DNS 伺服器,這使得他們能夠將用戶請求重定向到託管他們自己的門羅幣挖掘腳本的第三方伺服器。 DNS 伺服器由 CloudFlare 託管,但服務提供者並無過失。 Coinhive 開發人員只是忘記更改其 CloudFlare 管理員帳戶的密碼。然而,他們在 2014 年被駭客攻擊的 Kickstarter 上使用了同樣的密碼。
在一個部落格文章,Coinhive 的開發者道歉,同時指出用戶的資料沒有被竊。“我們的網頁伺服器和資料庫尚未存取”,他們強調。諷刺的是,許多 Coinhive 用戶並沒有警告網路使用者他們已經在自己的網站上整合了挖掘腳本。此外,有些人毫不猶豫地攻擊網站來整合他們的挖礦程式碼。美國政治新聞網站 Politifact 的情況尤其如此(資料來源:華盛頓郵報)。對他們所有人來說,這有點像灑水器的故事。
最後請注意,Coinhive 開發人員最近提供了其挖掘腳本的替代版本。受洗AuthedMine,它需要用戶同意才能運行。從道德上來說,還是比較好。
