Már kormányzati weboldalak segítségével is próbálnak bányászni

A virtuális aranyláz tombol, bármelyik, nem kellően védett weboldal vagy szolgáltatás célpont lehet. – írta: Dajkó Pál, 6 hónapja

Hirdetés

A The Register számolt be arról a hétvégén, hogy rövid ideig a világ több ezer kormányzati weboldalára – pl. az Egyesült Államok bírósági hálózatára vagy az Egyesült Királyság egészségügyi szolgálatának oldalaira – juttattak be ismeretlenek olyan kódokat, melyek segítségével a felhasználók hardvereit kriptopénz-bányászatra használták fel.

Az érintett oldalak mindegyike támogatott egy népszerű kiegészítőt, a Browsealoudot, mely egy hátrányos helyzetű emberek számára kialakított technológia, egy felolvasó program. Ezt a szoftvert hackelték meg vagy szerezték meg a forráskódját, mivel a segítségével juttattak be egy Monero-bányászt. Így míg fel nem fedezték, néhány órán keresztül mindenki átadta gépe kapacitásait a támadóknak (ameddig az oldalon tartózkodtak), aki olyan oldalt látogatott meg, ahol jelen volt a Browsealoud – és nem kevés ilyen oldal volt, több mint 4200. A szakemberek a rendszergazdáknak a Subresource Integrity (SRI) technika alkalmazását javasolták, amivel blokkolni lehet a távoli kódbejuttatást.

A Browsealoud fejlesztője közölte, hogy miután ideiglenesen leállították a működést, több olyan védelmi mechanizmust is bevezetnek, amelyekkel megakadályozzák az ilyen visszaéléseket.