Аккаунт Coinhive в CloudFlare взломан неизвестным хакером, который получил возможность управлять DNS-серверами и заменять код JavaScript, добавленный на многие сайты, на вредоносный. Вероятнее всего, злоумышленник получил доступ к аккаунту с помощью старого пароля, скомпрометированного в ходе взлома сервиса Kickstarter в 2014 году.
Сервис Coinhive осуществляет монетизацию трафика сайтов путем внедрения в код браузера майнера для добычи криптовалюты Monero.
Как утверждают представители Coinhive, учетная запись была взломана вечером 23 октября. Хакер прошел авторизацию в корпоративном аккаунте и заменил DNS-записи, осуществив переадресацию домена Coinhive на новый IP-адрес. Этот сервер осуществлял распространение измененного файла coinhive.min.js с вшитым ключом сайта. Как утверждают в Coinhive, на протяжении шести часов корпоративный домен контролировался киберпреступником.
Причина инцидента – применение небезопасного пароля для аккаунта в CloudFlare, который, видимо, был скомпрометирован в ходе утечки информации Kickstarter в 2014 году. Как утверждают сотрудники Coinhive, после упомянутой утечки они внедрили механизм двухфакторной аутентификации и пользовались уникальными паролями для всех сервисов, однако из-за халатности не поменяли пароли для учетной записи в CloudFlare.
Кроме того, в Coinhive сейчас обсуждаются различные варианты возмещения ущерба веб-ресурсам, которые потеряли прибыль из-за взлома.