Hay un viejo dicho español: “Nadie sabe para quien tabaja“, que refleja la incertidumbre de que ninguno de nosotros podemos estar seguros de quien se beneficiará por nuestro esfuerzo. Con clásicos ejemplos como el responsable y sacrificado padre que vive frugalmente para dejar un gran patrimonio a sus hijos, quienes al recibirlo lo despilfarran e incluso los bienes con tanto esfuero acumulados terminan en manos de los enemigos de quién se los ganó con empeño y sacrificio.
Pues, bien ese refrán lo podemos aplicar a lo sucedido con Coinhive, un proyecto de criptominería en el navegador que pretendía ofrecer una alternativa a la odiosa publicidad que vemos en infinitas páginas web. La idea propuesta por Coinhive es simple, intalar un script de Javascript en una página web y remover la publicidad de la misma, de esa forma en lugar de obtener financiamiento por poner anuncios en el contenido producido, se obteniene el pago a través de la capacidad de cómputo de la computadora del visitante.
La idea es atractiva y algunos generadores de contenido estaban comenzado a probarla de forma experimental para evaluar su viabilidad, pero el lunes pasado, la empresa oficialmente reconoció que había sido hackeada y que a través de los DNS de la misma, hackers habrían robado el producto de lo minado.
La historia es como sigue de acuerdo a ZDNet:
El proveedor de software de minería de criptomonedas dijo esta semana que aproximadamente a las 10 pm GMT del lunes, la firma recibió una nota de su proveedor de DNS, Cloudflare, que advirtió a Coinhive que un agente desconocido había accedido a su cuenta.
Los registros DNS de coinhive.com se han manipulado para redirigir las solicitudes de coinhive.min.js a un servidor de terceros, que contiene una versión modificada del archivo JavaScript con una clave de sitio codificada.
El código Javascript de Coinhive que es incrustado por los usuarios en sus sitios web como una forma de extraer la criptomoneda Monero, pero los atacantes pudieron secuestrar esta secuencia de comandos para garantizar que los fondos extraídos ingresaran en una billetera que controlaran ellos en lugar de billeteras de los usuarios.
“Esto esencialmente permite que el atacante” robe “hashes de nuestros usuarios”, dice Coinhive.
La secuencia de comandos utilizada para implementar la minería de criptomonedas en los dominios de sitios web es una idea nueva, aunque controvertida.
La minería para moneda virtual se está examinando como una alternativa a los anuncios de terceros como una forma de generar ingresos, y fue la prueba piloto de Pirate Bay la que propulsó la idea al centro de atención.
Debido a un error de codificación, los usuarios detectaron el minado del sitio web, ya que extraía enormes cantidades de energía de la CPU de los sistemas visitantes, en lugar de 20 a 30 por ciento como se pretendía originalmente.
Tras la reacción de los visitantes, The Pirate Bay admitió haber probado el script de minado como una “forma de deshacerse de todos los anuncios”.
Lo peor de todo es que la forma cómo este hacker tomo control de la cuenta de Cloudflare de Coinhive es de un robo de información ocurrido en el 2014, lo cual indica que por aproximandamente 3 años la empresa estuvo usando las mismas credenciales a pesar de saber que estas habían sido comprometidas:
Parece que las credenciales de la cuenta Cloudflare pueden haberse filtrado en la violación de datos de Kickstarter.
En 2014, los hackers pudieron acceder a algunas cuentas y robar nombres de usuarios de clientes, direcciones de correo electrónico, direcciones de correo, números de teléfono y contraseñas encriptadas.
Dado que las contraseñas tomadas fueron encriptadas, es posible que la contraseña de Cloudflare de Coinhive fuera particularmente débil y susceptible a un ataque de fuerza bruta.
La compañía, sin embargo, ha sido honesta en reconocer dónde radica la verdadera culpa.
“Hemos aprendido lecciones duras sobre seguridad y usamos 2FA y contraseñas únicas con todos los servicios desde entonces, pero olvidamos actualizar nuestra cuenta Cloudflare de años atrás”, dice Coinhive. “Sentimos mucho este severo descuido”.
Lamentable revés para una compañía que ofrecía una alternativa real a la monetización a través de la odiosa publicidad. Aunque este hacking no ha sido debido a la calidad de su código o una falla de la implementación o la idea, sino por el contrario a la laxa política de seguridad en el manejo de contraseñas de la empresa, esperemos que luego de este grave problema la empresa pueda sobrevivir y continuar con el desarrollo de su idea.