作者: 趨勢科技 TrendMicro

Coinhive 採礦程式公司是一家相當積極的公司，專門為網站開拓另一種收入來源：不必在網頁上夾帶大量廣告，只要在網頁內嵌開採 Monero (門羅幣) 的 JavaScript 程式碼即可。這些程式碼會使用訪客裝置的運算資源來開採門羅幣。Coinhive 會從開採出來的門羅幣中收取一定比例的傭金，其餘則歸網站所有。

10 月 24 日，Coinhive 公司發出聲明表示該公司所使用的 DNS 服務帳號於 10 月 23 日遭到駭客入侵。駭客篡改了 Coinhive 的 DNS 記錄，將所有連上 coinhive.min.js 的流量指向另一台非該公司所有的伺服器。

Coinhive 在聲明中表示：「這台第三方伺服器上使用了一個修改過的 JavaScript 檔案，將網站金鑰寫死在檔案內。這基本上等於讓駭客可以竊取我們用戶開採出來的成果。」

該公司已經針對該事件出面道歉，而該事件據稱是因為密碼強度不足而引起，且此密碼是在 2014 年 Kickstarter群眾募資網站資料外洩事件當中早已外流。這當然並非第一次因為重複使用相同密碼所導致的問題。Coinhive 表示他們公司已實施了雙重認證 (2FA) 且並不重複使用相同密碼，只是該 DNS 的帳號存在已久，因而忘了更新密碼。

聲明中強調，沒有任何帳號資訊遭到外流，且該公司的網站和資料庫伺服器都沒有遭到入侵。該公司已提出用戶補償計畫，每位用戶將可獲得其網站每天 12 小時平均開採金額的補償。

帳號安全小祕訣

此事件再次突顯出網路帳號安全的重要性。使用複雜且非重複的密碼絕對有其必要，而且，企業應該妥善運用服務供應商所提供的所有安全措施。除此之外，我們也在此提供一些額外的小祕訣：

• 當您手上有多個網路帳號時，請務必主動勤勞更新帳戶的安全措施。因為服務供應商很可能會隨時新增一些可保護您帳號的功能或措施。
• 針對第三方服務，企業務必實施嚴格的管制政策，尤其是負責處理敏感資料或營運關鍵的系統。企業務必深入了解自己所採用的廠商，並且妥善控管資料的存取權限。

除此之外，採用一套有效而完整的資安解決方案，也能協助您確保網路服務的安全。趨勢科技 PC-cillin 2018 雲端版可協助您管理密碼，防止像這類最常見的網路威脅。

 

原文出處：Coinhive’s DNS Server Compromised Thanks to Weak Password

PC-cillin 2018雲端版 防範勒索 保護個資 ☑手機 ☑電腦 ☑平板，跨平台防護３到位

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。