มีรายงานจาก The Register และที่ปรึกษาความปลอดภัยในสหราชอาณาจักร Scott Helme เผยว่ามีเว็บไซต์กว่า 4,200 เว็บมีผู้บุกรุกเข้าไปฝังสคริปต์ขุดเหรียญ Monero จาก Coinhive โดยที่น่าสนใจคือมีเว็บไซต์จำนวนมากเป็นเว็บไซต์ของหน่วยงานภาครัฐ
ในรายงานเผยว่า ผู้บุกรุกใช้วิธีกระจายโค้ด JavaScript โดยการแก้ไขปลั๊กอิน Browsealoud ของ Texthelp ซึ่งเป็นตัวช่วยการเข้าถึงสำหรับผู้พิการทางสายตา มีหน้าที่อ่านเว็บไซต์เป็นเสียงให้ฟัง ซึ่งการแก้ไขปลั๊กอินนี้ทำให้ผู้ไม่ประสงค์ดีสามารถเจาะและวางโค้ดสำหรับขุดเหรียญในเว็บไซต์ที่เปิดใช้งาน Browsealoud ได้
การขุดเหรียญเหล่านี้เกิดขึ้นในวันที่ 11 กุมภาพันธ์เป็นเวลาหลายชั่วโมง ก่อนที่ Texthelp จะสั่งหยุดการให้บริการปลั๊กอินเพื่อสอบสวนปัญหาดังกล่าว โดยเว็บไซต์ภาครัฐที่โดนฝังสคริปต์ เช่น National Health Service ของสหราชอาณาจักร, เว็บไซต์สภานิติบัญญัติของออสเตรเลีย หรือ USCourts.gov เว็บไซต์ให้ข้อมูลทางศาลของสหรัฐฯ หรือเว็บไซต์สถาบันการศึกษา เช่น cuny.edu เว็บไซต์ของ The City University of New York, lu.se เว็บไซต์ของ Lund University
สำหรับฝั่งผู้ใช้อาจจะพบปัญหาความเร็วเครื่องลดลงเมื่อเข้าเว็บไซต์ที่มีสคริปต์เหล่านี้ฝังอยู่ (โปรแกรมความปลอดภัยรวมถึงตัวบล็อกโฆษณาจำนวนมากสามารถตรวจจับสคริปต์จาก Coinhive ได้แล้ว ซึ่งโปรแกรมเหล่านี้อาจสั่งบล็อกเลย) แต่เมื่อปิดหน้าเว็บ ทุกอย่างก็จะกลับมาเป็นปกติ ซึ่งปัญหานี้สร้างความปวดหัวให้กับผู้ดูแลเว็บไซต์อย่างมาก เพราะว่าโค้ดที่ใส่เข้ามานี้เจาะผ่านปลั๊กอินที่ติดตั้งไว้บนเว็บไซต์โดยผู้บุกรุกไม่จำเป็นต้องใช้การยืนยันตัวตนแต่อย่างใด
ทั้งนี้ ในรายงานยังไม่มีข้อมูลว่าใครเป็นผู้อยู่เบื้องหลังเหตุการณ์ดังกล่าว ผู้สนใจสามารถดูโค้ดเปรียบเทียบระหว่างเวอร์ชันที่ถูกใส่โค้ดขุดเหรียญกับเวอร์ชันปกติได้
ที่มา - Engadget, The Register
ภาพจาก getmonero.org
Comments
เคยเห็นอะไรดีๆค่าสกุลเงินจำพวกนี้บ้างไหมนี่
สถาบันการเงินหลายประเทศก็ไม่ยอมรับ
ใช้งานก็ผิดวัตถุประสงค์จากที่ผู้สร้างเคยคิดเอาไว้ว่าจะใช้เป็นสกุลเงิน ย้ำว่า"เงิน" ทุกวันนี้เหมือนเป็นสินทรัพย์ที่โยคย้ายไปมาเพื่อแสวงหาผลกำไรมากกว่า
แถมยังมาแย่งใช้งานผิดวัตถุประสงค์อีก GPU สำหรับ Mining โดยเฉพาะก็ไม่ซื้อ เครื่องขุดเฉพาะมีก็ไม่ซื้อ
แต่หลังๆนี่ก็เงียบสงบดีเหมือนกันนะ ไม่ดุเดือดเหมือนแต่ก่อนตอนที่ช่วงสกุลมันพุ่ง สงสัยหนาวมากจนขยับริมฝีปากโต้ตอบไม่ได้
เดี๋ยวก็มิตรสหายมาบอกว่าอ่อนแอก็แพ้ไปหรอกครับ :D
ภาพตอนนั้นจะว่าดูแบบแมงเม่าบินเข้ากองไฟก็ไม่รู้ มันให้ความรู้สึกแบบเด็กที่หลงเข้าไปเล่นในบ้านฆาตกรด้วยความร่าเริง สุดท้ายโดนไล่เชือดตายอะไรประมาณนี้
อันนี้ภาพที่คิดในหัวเองน่ะนะครับ
ก็รู้ทั้งรู้ว่าไฟมันร้อน แต่ยังจะยอมลองเล่นกับไฟ
บินเข้าไป คิดเพียงปีกที่ติดไฟ นั้นมันสวยงาม
ส่วนตัวไม่ได้ขุดเหรียญนะครับ แต่ GPU นี่ "วัตถุประสงค์" คืออะไรหรอครับ ผมเข้าใจว่าสามารถเอาไปทำอะไรก็ได้เท่าที่เจ้าของต้องการ
"Graphic Processing Unit" ชัดเจนพอไหมครับ เรื่องพื้นฐาน แถมแปลได้ง่ายๆด้วย
แย่จังเลยนะครับ ผมเพิ่งทราบว่าต้องเป็น "Graphic" Processing Unit ต้องใช้กับ Graphic เท่านั้น งั้นนักวิจัย, data center ที่เอาไปพัฒนา AI, รถไร้คนขับ ก็ใช้ผิดวัตถุประสงค์หมดเลยสิ ต้องเอาต้องหยุดใช้แล้วล่ะ เอาไปให้เค้าเล้นเกมกับทำงานที่เกี่ยวกับ "Graphic" ก่อนนะครับ
ดู ๆ แล้วพอต้นทุนการขุดสูงไม่คุ้มค่าขุดเองก็จะมีพวกแบบนี้เกิดขึ้นมาเรื่อย ๆ และจะยิ่งเยอะมากขึ้นทุกวัน
ดีว่าไม่เคยใช้ปลั๊กอินตัวนี้
และหวังว่าปั๊กอินตัวอื่นจะไม่เอาอย่าง
ขอเถอะ
เพราะส่วนเสริมหลายตัวที่ใช้
มันจำเป็นต่อคนตาบอดมากๆ
น่าเกลียดเกิ๊น ทำได้ทุกอย่าง เอาเปรียบผู้พิการก็ยอม
โจรมันไม่สนหรอกว่าจะเป็นใคร ขอแค่รีดไถได้ก็พอครับ
แต่เห็นส่วนเสริมแนวๆ นี้ก็สงสัยว่าเดี๋ยวนี้ยังมีคนตาบอดที่จำเป็นต้องใช้ (หรือเอาแค่ใช้) อยู่อีกเหรอ ในเมื่อเราใช้ Screen Reader ตัวหลักที่ใช้งานอ่านเว็บไซต์ต่างๆ ให้ฟังได้อยู่แล้ว ของเว็บไซต์ที่ลงมาให้นี่ ดูซ้ำซ้อน และใช้งานได้ครึ่งๆ กลางๆ ยังไงไม่รู้
สำหรับคนที่ไม่รู้ การทำเว็บให้เข้าถึงได้ (accessibility) สำหรับคนพิการ นั้นแค่เขียนโค้ดให้ได้ตาม มาตรฐาน Web Content Accessibility Guidelines (WCAG) 2.0 ก็พอแล้วนะครับ ไม่จำเป็นต้องหาส่วนเสริมที่ทำให้เว็บ/แอปตัวเองอ่านออกเสียงได้มาเพิ่มเติมแต่อย่างไร
@ Virusfowl
I'm not a dev. not yet a user.
ผู้ใช้ทั่วไปส่วนใหญ่ก็ไม่ได้ติดตามเทคโนโลยีมากนัก function บางอย่างถ้าไม่โฆษณาแบบออกสื่อเลยก็ไม่รู้หรอกว่ามีหรือทำได้
อันนี้พูดถึงเคสทั่วๆไปนะ ไม่ได้เจาะจงส่วนเสริมตัวนี้
ถ้าพูดแบบเจาะจงส่วนเสริมตัวนี้ ถ้าเค้าไม่มีเครื่องมืออะไรมาเลยเค้าจะเข้าหน้าเว็บมาถึงหน้าที่มีตัวช่วยนี้ได้เหรอครับ?
หนักข้อขึ้นทุกวัน แบบนี้ไม่ต่างอะไรกับ malware แล้ว