Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Albert Heijn-actiepagina en andere sites bevatten coinminer in cookiescript

Door , 304 reacties

Een actiepagina van Albert Heijn bevat een miningscript waarmee de cpu van bezoekers wordt gebruikt voor coinmining. De boosdoener is een cookiescript dat ook aanwezig blijkt te zijn op andere websites, waaronder Nederlandse sites.

De code op de Albert Heijn-pagina voor een kerstactie werd opgemerkt door een oplettende tweaker. Verder onderzoek door Tweakers samen met beveiligingsonderzoeker Willem de Groot wijst uit dat de code op de site in een cookiescript van de dienst cookiescript.info zit, waar gebruikers een cookiemelding met toestemmingsvraag kunnen aanmaken. Volgens De Groot maken 243 sites van die code gebruik, waaronder glow.nl en pegasusinternet.nl.

Hij zegt: "Ik denk niet dat de dienst van het cookiescript de code er zelf heeft ingezet, anders hadden ze niet bij DigitalOcean gehost. Dat zet een server bij misbruik meteen uit, dus als je zelf een server kiest dan zou je eerder voor een bulletproof hoster gaan." Kwaadwillenden maken meestal gebruik van kleinere en minder bekende hostingpartijen. Bij de coinminer in kwestie gaat het om Crypto-Loot, die zich als alternatief voor Coinhive aanprijst. Bij een bezoek aan een van de sites met de desbetreffende code gaat de cpu-belasting van het systeem van de bezoeker naar honderd procent, zonder dat er een waarschuwing wordt getoond. Dit levert de verantwoordelijke partij uiteindelijk de cryptovaluta Monero op.

Volgens De Groot komt Crypto-Loot niet veel voor, maar hij stelt dat dit kan veranderen doordat Coinhive inmiddels op veel plaatsen wordt geblokkeerd. De onderzoeker kwam de id waaraan de miningactiviteit is verbonden, niet op andere plekken tegen. Soms is aan de hand van een id een grotere campagne in beeld te brengen. Hij acht het mogelijk dat degenen achter de huidige miner bij cookiescript-info binnen zijn gekomen en de miner hebben geplaatst. Er zijn geen indicaties dat Albert Heijn zelf is gehackt.

Coinmining via de browser nam een vlucht nadat Coinhive een JavaScript-tool daarvoor geïntroduceerd had. Veel partijen kopieerden de techniek en bieden hun eigen variant aan, waarbij vaak geen toestemming wordt gevraagd. De Groot trof Coinhive-code onlangs aan op 2500 webwinkels. Tweakers wijdde een uitgebreider artikel aan het verschijnsel, ook wel bekend als cryptojacking. Een woordvoerder van Albert Heijn kon nog niet direct reageren op vragen van Tweakers.

Update, 14:30: Een woordvoerder van Albert Heijn laat aan Tweakers weten dat de pagina in kwestie inmiddels offline is gehaald en dat er 'hard wordt gewerkt aan een oplossing'. De pagina moet zo snel mogelijk weer beschikbaar zijn. Over de oorzaak wil de woordvoerder niets zeggen, omdat 'er met meerdere partijen contact is om de oorzaak te onderzoeken'. Daarom bleef de vraag hoe lang de pagina op deze manier online heeft gestaan vooralsnog onbeantwoord. Het feit dat de coinminer aanwezig was, was een totale verrassing, aldus de woordvoerder.

Update, 16:36: De beheerder van de overige Nederlandse pagina's zegt dat deze inmiddels eveneens zijn aangepast.

Door Sander van Voorst

Nieuwsredacteur

13-11-2017 • 12:36

304 Linkedin Google+

Reacties (304)

Wijzig sortering
Ik had het al eens eerder aangegeven, maar voor degene die het (nog) niet gezien hebben: zo kun je je er tegen beschermen:

Voor degene die net zoals ik geen extra extensie willen installeren: Je kan ook een filter toevoegen aan je AdblockPlus-extensie. Dat moet zo: Ga naar de instellingen van AdblockPlus > Ga naar het tabje "Eigen filters toevoegen" > Vul het volgende in: coin-hive.com/lib/coinhive.min.js > "Filter toevoegen".

Je kunt ook een filterabonnement toevoegen. Direct-link voor het toevoegen (even copy/pasten in je URL-balk): abp:subscribe?location=ht...r/nocoin.txt&title=NoCoin
Bronnen:In uBlock Origin is een Resource abuse filter ingebouwd. Je kan hem aan/uitzetten met het vinkje voor dashboard > 3rd-party filters > uBlock filters – Resource abuse.

Als je wl een extensie wilt, kan je die hier downloaden: https://chrome.google.com...l=nl&_category=extensions

EDIT: Ik kan bevestigen dat de code op de pagina niet meer aanwezig is en dus succesvol wordt geblokkeerd. Nogmaals: doordat hij de code blokkeert als je n van de bovenstaande methodes probeert, is 'ie dus niet meer aanwezig op jouw systeem (omdat hij geblokkeerd wordt) :).

[Reactie gewijzigd door AnonymousWP op 14 november 2017 10:52]

Of installeer Pi-Hole (sorry tweakers.net)
En denk niet dat je daar een RB pi voor nodig hebt, je kan het ook draaien op je Synology NAS. Doe ik zelf ook en ik zie nergens meer reclame op mijn hele netwerk (dus ook telefoons en tablets).. Geweldig!
https://pi-hole.net/

En hoe je het op je NAS installeerd (zo makkelijk, zelfs ik kon het)
https://discourse.pi-hole...ole-on-a-synology-nas/289

[Reactie gewijzigd door procyon op 13 november 2017 12:55]

Mocht je een Intel cpu in je Synology NAS hebben, dan kun je pi-hole zonder chroot e.d. ook configureren, gewoon via een te downloaden container (ik gebruik daarvoor het image: diginc-pi-hole). Verder heb ik op dezelfde manier ook nzbget en sickrage als docker-container op mijn nas draaien. Dat scheelt best een boel geconfigureer. pm me als je er niet uit komt.
DNS.watch staat los van hun hosting provider dus wat daar mis gaat heeft geen betrekking op DNS Watch.

Verder heeft DNS watch een privacy policy: hun homepage. Wat wil je nog meer? EEn linkje naar een Privacy policy met 50 pagina's aan text door lawyers opgesteld? Dat is jou meer waard?

Hun home page is hun belofte. Als ze niet doen wat daar staat kan je niets meer vertrouwen en helpt 50 pagina's aan bullshit je ook niet verder.

Sorry maar als je zoekt naar fouten zul je ze vinden. je moet ergens iets vertrouwen en dan pak ik persoonlijk liever een no-nonsense no-bullshit 3-regels belofte dan een grote partij met 100 advocaten in dienst die mij 50 pagina's onbegrijpelijke text voorschotelen.
Artikel 138ab Wetboek van Strafrecht:
1. Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan.
[...]
3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens
a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;
In dit geval zal er bewezen moeten kunnen worden dat er opzettelijk en wederrechtelijk is binnengedrongen met als oogmerk wederrechtelijke bevoordeling.

[Reactie gewijzigd door donny007 op 13 november 2017 14:21]

Eigelijk zou je op internet een soort ketenaansprakelijkheidsregeling wet moeten hebben.
Hierdoor kan een website zich niet meer verschuilen achter een derde partij.
https://www.mkbservicedes...etenaansprakelijkheid.htm


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*