Tags:
Node Thumbnail

มีรายงานจาก The Register และที่ปรึกษาความปลอดภัยในสหราชอาณาจักร Scott Helme เผยว่ามีเว็บไซต์กว่า 4,200 เว็บมีผู้บุกรุกเข้าไปฝังสคริปต์ขุดเหรียญ Monero จาก Coinhive โดยที่น่าสนใจคือมีเว็บไซต์จำนวนมากเป็นเว็บไซต์ของหน่วยงานภาครัฐ

ในรายงานเผยว่า ผู้บุกรุกใช้วิธีกระจายโค้ด JavaScript โดยการแก้ไขปลั๊กอิน Browsealoud ของ Texthelp ซึ่งเป็นตัวช่วยการเข้าถึงสำหรับผู้พิการทางสายตา มีหน้าที่อ่านเว็บไซต์เป็นเสียงให้ฟัง ซึ่งการแก้ไขปลั๊กอินนี้ทำให้ผู้ไม่ประสงค์ดีสามารถเจาะและวางโค้ดสำหรับขุดเหรียญในเว็บไซต์ที่เปิดใช้งาน Browsealoud ได้

การขุดเหรียญเหล่านี้เกิดขึ้นในวันที่ 11 กุมภาพันธ์เป็นเวลาหลายชั่วโมง ก่อนที่ Texthelp จะสั่งหยุดการให้บริการปลั๊กอินเพื่อสอบสวนปัญหาดังกล่าว โดยเว็บไซต์ภาครัฐที่โดนฝังสคริปต์ เช่น National Health Service ของสหราชอาณาจักร, เว็บไซต์สภานิติบัญญัติของออสเตรเลีย หรือ USCourts.gov เว็บไซต์ให้ข้อมูลทางศาลของสหรัฐฯ หรือเว็บไซต์สถาบันการศึกษา เช่น cuny.edu เว็บไซต์ของ The City University of New York, lu.se เว็บไซต์ของ Lund University

สำหรับฝั่งผู้ใช้อาจจะพบปัญหาความเร็วเครื่องลดลงเมื่อเข้าเว็บไซต์ที่มีสคริปต์เหล่านี้ฝังอยู่ (โปรแกรมความปลอดภัยรวมถึงตัวบล็อกโฆษณาจำนวนมากสามารถตรวจจับสคริปต์จาก Coinhive ได้แล้ว ซึ่งโปรแกรมเหล่านี้อาจสั่งบล็อกเลย) แต่เมื่อปิดหน้าเว็บ ทุกอย่างก็จะกลับมาเป็นปกติ ซึ่งปัญหานี้สร้างความปวดหัวให้กับผู้ดูแลเว็บไซต์อย่างมาก เพราะว่าโค้ดที่ใส่เข้ามานี้เจาะผ่านปลั๊กอินที่ติดตั้งไว้บนเว็บไซต์โดยผู้บุกรุกไม่จำเป็นต้องใช้การยืนยันตัวตนแต่อย่างใด

ทั้งนี้ ในรายงานยังไม่มีข้อมูลว่าใครเป็นผู้อยู่เบื้องหลังเหตุการณ์ดังกล่าว ผู้สนใจสามารถดูโค้ดเปรียบเทียบระหว่างเวอร์ชันที่ถูกใส่โค้ดขุดเหรียญกับเวอร์ชันปกติได้

ที่มา - Engadget, The Register

No Description

ภาพจาก getmonero.org

Get latest news from Blognone

Comments

By: terdsak.s on 12 February 2018 - 10:37 #1033124

เคยเห็นอะไรดีๆค่าสกุลเงินจำพวกนี้บ้างไหมนี่
สถาบันการเงินหลายประเทศก็ไม่ยอมรับ
ใช้งานก็ผิดวัตถุประสงค์จากที่ผู้สร้างเคยคิดเอาไว้ว่าจะใช้เป็นสกุลเงิน ย้ำว่า"เงิน" ทุกวันนี้เหมือนเป็นสินทรัพย์ที่โยคย้ายไปมาเพื่อแสวงหาผลกำไรมากกว่า
แถมยังมาแย่งใช้งานผิดวัตถุประสงค์อีก GPU สำหรับ Mining โดยเฉพาะก็ไม่ซื้อ เครื่องขุดเฉพาะมีก็ไม่ซื้อ
แต่หลังๆนี่ก็เงียบสงบดีเหมือนกันนะ ไม่ดุเดือดเหมือนแต่ก่อนตอนที่ช่วงสกุลมันพุ่ง สงสัยหนาวมากจนขยับริมฝีปากโต้ตอบไม่ได้

By: alonerii
AndroidUbuntuWindows
on 12 February 2018 - 11:29 #1033144 Reply to:1033124

เดี๋ยวก็มิตรสหายมาบอกว่าอ่อนแอก็แพ้ไปหรอกครับ :D

By: iamoatx
iPhoneWindows PhoneAndroidBlackberry
on 12 February 2018 - 14:04 #1033195 Reply to:1033124
iamoatx's picture

ภาพตอนนั้นจะว่าดูแบบแมงเม่าบินเข้ากองไฟก็ไม่รู้ มันให้ความรู้สึกแบบเด็กที่หลงเข้าไปเล่นในบ้านฆาตกรด้วยความร่าเริง สุดท้ายโดนไล่เชือดตายอะไรประมาณนี้

อันนี้ภาพที่คิดในหัวเองน่ะนะครับ

By: MaDCraZy
AndroidWindows
on 13 February 2018 - 11:40 #1033373 Reply to:1033195
MaDCraZy's picture

ก็รู้ทั้งรู้ว่าไฟมันร้อน แต่ยังจะยอมลองเล่นกับไฟ
บินเข้าไป คิดเพียงปีกที่ติดไฟ นั้นมันสวยงาม

By: meathasith
Windows PhoneAndroidWindows
on 13 February 2018 - 02:14 #1033302 Reply to:1033124

ส่วนตัวไม่ได้ขุดเหรียญนะครับ แต่ GPU นี่ "วัตถุประสงค์" คืออะไรหรอครับ ผมเข้าใจว่าสามารถเอาไปทำอะไรก็ได้เท่าที่เจ้าของต้องการ

By: terdsak.s on 13 February 2018 - 15:42 #1033405 Reply to:1033302

"Graphic Processing Unit" ชัดเจนพอไหมครับ เรื่องพื้นฐาน แถมแปลได้ง่ายๆด้วย

By: meathasith
Windows PhoneAndroidWindows
on 13 February 2018 - 16:57 #1033425 Reply to:1033405

แย่จังเลยนะครับ ผมเพิ่งทราบว่าต้องเป็น "Graphic" Processing Unit ต้องใช้กับ Graphic เท่านั้น งั้นนักวิจัย, data center ที่เอาไปพัฒนา AI, รถไร้คนขับ ก็ใช้ผิดวัตถุประสงค์หมดเลยสิ ต้องเอาต้องหยุดใช้แล้วล่ะ เอาไปให้เค้าเล้นเกมกับทำงานที่เกี่ยวกับ "Graphic" ก่อนนะครับ

By: Mars2005
iPhoneWindows PhoneAndroidBlackberry
on 12 February 2018 - 10:50 #1033128
Mars2005's picture

ดู ๆ แล้วพอต้นทุนการขุดสูงไม่คุ้มค่าขุดเองก็จะมีพวกแบบนี้เกิดขึ้นมาเรื่อย ๆ และจะยิ่งเยอะมากขึ้นทุกวัน

By: ปาโมกข์
iPhoneAndroidWindows
on 12 February 2018 - 10:52 #1033130
ปาโมกข์'s picture

ดีว่าไม่เคยใช้ปลั๊กอินตัวนี้
และหวังว่าปั๊กอินตัวอื่นจะไม่เอาอย่าง
ขอเถอะ
เพราะส่วนเสริมหลายตัวที่ใช้
มันจำเป็นต่อคนตาบอดมากๆ

By: jakapong
iPhoneAndroidBlackberryWindows
on 12 February 2018 - 12:31 #1033171

น่าเกลียดเกิ๊น ทำได้ทุกอย่าง เอาเปรียบผู้พิการก็ยอม

By: osmiumwo1f
ContributorWindows PhoneWindows
on 12 February 2018 - 12:50 #1033177 Reply to:1033171
osmiumwo1f's picture

โจรมันไม่สนหรอกว่าจะเป็นใคร ขอแค่รีดไถได้ก็พอครับ

By: Virusfowl
ContributorAndroidSymbianWindows
on 12 February 2018 - 13:51 #1033194

แต่เห็นส่วนเสริมแนวๆ นี้ก็สงสัยว่าเดี๋ยวนี้ยังมีคนตาบอดที่จำเป็นต้องใช้ (หรือเอาแค่ใช้) อยู่อีกเหรอ ในเมื่อเราใช้ Screen Reader ตัวหลักที่ใช้งานอ่านเว็บไซต์ต่างๆ ให้ฟังได้อยู่แล้ว ของเว็บไซต์ที่ลงมาให้นี่ ดูซ้ำซ้อน และใช้งานได้ครึ่งๆ กลางๆ ยังไงไม่รู้

สำหรับคนที่ไม่รู้ การทำเว็บให้เข้าถึงได้ (accessibility) สำหรับคนพิการ นั้นแค่เขียนโค้ดให้ได้ตาม มาตรฐาน Web Content Accessibility Guidelines (WCAG) 2.0 ก็พอแล้วนะครับ ไม่จำเป็นต้องหาส่วนเสริมที่ทำให้เว็บ/แอปตัวเองอ่านออกเสียงได้มาเพิ่มเติมแต่อย่างไร


@ Virusfowl

I'm not a dev. not yet a user.

By: langisser
In Love
on 12 February 2018 - 19:30 #1033259 Reply to:1033194

ผู้ใช้ทั่วไปส่วนใหญ่ก็ไม่ได้ติดตามเทคโนโลยีมากนัก function บางอย่างถ้าไม่โฆษณาแบบออกสื่อเลยก็ไม่รู้หรอกว่ามีหรือทำได้
อันนี้พูดถึงเคสทั่วๆไปนะ ไม่ได้เจาะจงส่วนเสริมตัวนี้

By: hisoft
ContributorWindows PhoneWindows
on 12 February 2018 - 19:51 #1033263 Reply to:1033259
hisoft's picture

ถ้าพูดแบบเจาะจงส่วนเสริมตัวนี้ ถ้าเค้าไม่มีเครื่องมืออะไรมาเลยเค้าจะเข้าหน้าเว็บมาถึงหน้าที่มีตัวช่วยนี้ได้เหรอครับ?

By: illuminator
ContributorAndroidUbuntuWindows
on 12 February 2018 - 18:20 #1033247
illuminator's picture

หนักข้อขึ้นทุกวัน แบบนี้ไม่ต่างอะไรกับ malware แล้ว