Coinhive 採礦程式公司是一家相當積極的公司,專門為網站開拓另一種收入來源:不必在網頁上夾帶大量廣告,只要在網頁內嵌開採 Monero (門羅幣) 的 JavaScript 程式碼即可。這些程式碼會使用訪客裝置的運算資源來開採門羅幣。Coinhive 會從開採出來的門羅幣中收取一定比例的傭金,其餘則歸網站所有。
10 月 24 日,Coinhive 公司發出聲明表示該公司所使用的 DNS 服務帳號於 10 月 23 日遭到駭客入侵。駭客篡改了 Coinhive 的 DNS 記錄,將所有連上 coinhive.min.js 的流量指向另一台非該公司所有的伺服器。
Coinhive 在聲明中表示:「這台第三方伺服器上使用了一個修改過的 JavaScript 檔案,將網站金鑰寫死在檔案內。這基本上等於讓駭客可以竊取我們用戶開採出來的成果。」
該公司已經針對該事件出面道歉,而該事件據稱是因為密碼強度不足而引起,且此密碼是在 2014 年 Kickstarter群眾募資網站資料外洩事件當中早已外流。這當然並非第一次因為重複使用相同密碼所導致的問題。Coinhive 表示他們公司已實施了雙重認證 (2FA) 且並不重複使用相同密碼,只是該 DNS 的帳號存在已久,因而忘了更新密碼。
聲明中強調,沒有任何帳號資訊遭到外流,且該公司的網站和資料庫伺服器都沒有遭到入侵。該公司已提出用戶補償計畫,每位用戶將可獲得其網站每天 12 小時平均開採金額的補償。
帳號安全小祕訣
此事件再次突顯出網路帳號安全的重要性。使用複雜且非重複的密碼絕對有其必要,而且,企業應該妥善運用服務供應商所提供的所有安全措施。除此之外,我們也在此提供一些額外的小祕訣:
- 當您手上有多個網路帳號時,請務必主動勤勞更新帳戶的安全措施。因為服務供應商很可能會隨時新增一些可保護您帳號的功能或措施。
- 針對第三方服務,企業務必實施嚴格的管制政策,尤其是負責處理敏感資料或營運關鍵的系統。企業務必深入了解自己所採用的廠商,並且妥善控管資料的存取權限。
除此之外,採用一套有效而完整的資安解決方案,也能協助您確保網路服務的安全。趨勢科技 PC-cillin 2018 雲端版可協助您管理密碼,防止像這類最常見的網路威脅。
原文出處:Coinhive’s DNS Server Compromised Thanks to Weak Password
PC-cillin 2018雲端版 防範勒索 保護個資 ☑手機 ☑電腦 ☑平板,跨平台防護3到位
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。