还记得Coinhive吗?这项技术创建于 2017 年,允许网站管理员插入 Javascript 代码,该代码将利用互联网用户计算机的计算能力来挖掘门罗币,这是比特币的替代加密货币。现场海盗湾是最早使用它的人之一,只是为了减少对广告的依赖。
从那时起,Coinhive 获得了很大的关注,并且可以在越来越多的网站上找到挖掘代码。但这种对门罗币的热衷不可避免地会引起欲望,不可避免地会吸引一些土匪。两天前,黑客成功劫持了所有已部署脚本的计算能力长达几个小时,结果让 Coinhive 用户获得了一笔小额奖金。
长期未更改的密码
他们是怎么做到的?黑客设法修改了 Coinhive 使用的 DNS 服务器,这使得他们能够将用户请求重定向到托管他们自己的门罗币挖掘脚本的第三方服务器。 DNS 服务器由 CloudFlare 托管,但服务提供商并无过错。 Coinhive 开发人员只是忘记更改其 CloudFlare 管理员帐户的密码。然而,他们在 2014 年被黑客攻击的 Kickstarter 上使用了同样的密码。显然,这个密码是泄露数据的一部分。
在一个博客文章,Coinhive 的开发者道歉,同时指出用户的数据没有被盗。“我们的网络服务器和数据库尚未访问”,他们强调。讽刺的是,许多 Coinhive 用户并没有警告互联网用户他们已经在自己的网站上集成了挖掘脚本。此外,有些人毫不犹豫地攻击网站来整合他们的挖矿代码。美国政治新闻网站 Politifact 的情况尤其如此(来源:华盛顿邮报)。对于他们所有人来说,这有点像洒水器的故事。
最后请注意,Coinhive 开发人员最近提供了其挖掘脚本的替代版本。受洗AuthedMine,它需要用户同意才能运行。从道德上来说,还是比较好。
