Alfonso Maruccia

Coinhive, compromesso il DNS

Gli sviluppatori del famigerato script per il mining di Monero denunciano una breccia nei server DNS, un problema durato solo poche ore e risolto con l'adozione di una opsec più robusta

Roma - Il team di Coinhive denuncia di essere stato vittima di una breccia nei server DNS, incidente causato da una password vulnerabile che non ha apparentemente portato alla violazione degli account dei clienti del servizio. Un servizio che in ogni caso continua a far discutere e che molti antivirus considerano come un vero e proprio malware.

La violazione è avvenuta lo scorso 23 ottobre, hanno comunicato gli sviluppatori, quando ignoti hanno preso possesso del loro Cloudflare (provider DNS usato da Coinhive) e hanno poi manipolato le informazioni DNS per trasferire le richieste dello script coinhive.min.js verso un server di terze parti.

Il risultato finale dell'attacco è stato il "furto" di risorse hardware per il mining di criptovaluta Monero durato almeno sei ore, mentre la causa di tutto sarebbe la password usata su Cloudflare e già violata durante la breccia nei server di Kickstarter del 2014.
Il team di Coinhive dice di essere passato da tempo all'uso di password robuste e dell'autenticazione a doppio fattore, ma la "vecchia" password di Cloudflare non era stata evidentemente aggiornata dopo l'incidente di tre anni fa.

Gli sviluppatori sostengono di voler "risarcire" i siti che usano Coinhive con la concessione di 12 ore di "hashrate" aggiuntive, mentre dal punto di vista degli utenti finali la "piattaforma" per il mining JS di Monero continua ad essere un fastidio più che una risorsa: il servizio è diventato molto popolare presso i creatori di malware, e gli antivirus hanno oramai classificato lo script come malevolo.

Alfonso Maruccia
Notizie collegate
  • SicurezzaAttacco a KickstarterFine settimana di fuoco per la sicurezza. Online le credenziali di accesso all'FTP di siti come quello del New York Times. La SEA se la prende ancora con Forbes. Mentre il sito di crowdfunding chiede a tutti di cambiare le proprie password