Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Albert Heijn-actiepagina en andere sites bevatten coinminer in cookiescript

Door , 304 reacties

Een actiepagina van Albert Heijn bevat een miningscript waarmee de cpu van bezoekers wordt gebruikt voor coinmining. De boosdoener is een cookiescript dat ook aanwezig blijkt te zijn op andere websites, waaronder Nederlandse sites.

De code op de Albert Heijn-pagina voor een kerstactie werd opgemerkt door een oplettende tweaker. Verder onderzoek door Tweakers samen met beveiligingsonderzoeker Willem de Groot wijst uit dat de code op de site in een cookiescript van de dienst cookiescript.info zit, waar gebruikers een cookiemelding met toestemmingsvraag kunnen aanmaken. Volgens De Groot maken 243 sites van die code gebruik, waaronder glow.nl en pegasusinternet.nl.

Hij zegt: "Ik denk niet dat de dienst van het cookiescript de code er zelf heeft ingezet, anders hadden ze niet bij DigitalOcean gehost. Dat zet een server bij misbruik meteen uit, dus als je zelf een server kiest dan zou je eerder voor een bulletproof hoster gaan." Kwaadwillenden maken meestal gebruik van kleinere en minder bekende hostingpartijen. Bij de coinminer in kwestie gaat het om Crypto-Loot, die zich als alternatief voor Coinhive aanprijst. Bij een bezoek aan een van de sites met de desbetreffende code gaat de cpu-belasting van het systeem van de bezoeker naar honderd procent, zonder dat er een waarschuwing wordt getoond. Dit levert de verantwoordelijke partij uiteindelijk de cryptovaluta Monero op.

Volgens De Groot komt Crypto-Loot niet veel voor, maar hij stelt dat dit kan veranderen doordat Coinhive inmiddels op veel plaatsen wordt geblokkeerd. De onderzoeker kwam de id waaraan de miningactiviteit is verbonden, niet op andere plekken tegen. Soms is aan de hand van een id een grotere campagne in beeld te brengen. Hij acht het mogelijk dat degenen achter de huidige miner bij cookiescript-info binnen zijn gekomen en de miner hebben geplaatst. Er zijn geen indicaties dat Albert Heijn zelf is gehackt.

Coinmining via de browser nam een vlucht nadat Coinhive een JavaScript-tool daarvoor geïntroduceerd had. Veel partijen kopieerden de techniek en bieden hun eigen variant aan, waarbij vaak geen toestemming wordt gevraagd. De Groot trof Coinhive-code onlangs aan op 2500 webwinkels. Tweakers wijdde een uitgebreider artikel aan het verschijnsel, ook wel bekend als cryptojacking. Een woordvoerder van Albert Heijn kon nog niet direct reageren op vragen van Tweakers.

Update, 14:30: Een woordvoerder van Albert Heijn laat aan Tweakers weten dat de pagina in kwestie inmiddels offline is gehaald en dat er 'hard wordt gewerkt aan een oplossing'. De pagina moet zo snel mogelijk weer beschikbaar zijn. Over de oorzaak wil de woordvoerder niets zeggen, omdat 'er met meerdere partijen contact is om de oorzaak te onderzoeken'. Daarom bleef de vraag hoe lang de pagina op deze manier online heeft gestaan vooralsnog onbeantwoord. Het feit dat de coinminer aanwezig was, was een totale verrassing, aldus de woordvoerder.

Update, 16:36: De beheerder van de overige Nederlandse pagina's zegt dat deze inmiddels eveneens zijn aangepast.

Door Sander van Voorst

Nieuwsredacteur

13-11-2017 • 12:36

304 Linkedin Google+

Reacties (304)

Wijzig sortering
Ik had het al eens eerder aangegeven, maar voor degene die het (nog) niet gezien hebben: zo kun je je er tegen beschermen:

Voor degene die net zoals ik geen extra extensie willen installeren: Je kan ook een filter toevoegen aan je AdblockPlus-extensie. Dat moet zo: Ga naar de instellingen van AdblockPlus > Ga naar het tabje "Eigen filters toevoegen" > Vul het volgende in: coin-hive.com/lib/coinhive.min.js > "Filter toevoegen".

Je kunt ook een filterabonnement toevoegen. Direct-link voor het toevoegen (even copy/pasten in je URL-balk): abp:subscribe?location=ht...r/nocoin.txt&title=NoCoin
Bronnen:In uBlock Origin is een Resource abuse filter ingebouwd. Je kan hem aan/uitzetten met het vinkje voor dashboard > 3rd-party filters > uBlock filters – Resource abuse.

Als je wl een extensie wilt, kan je die hier downloaden: https://chrome.google.com...l=nl&_category=extensions

EDIT: Ik kan bevestigen dat de code op de pagina niet meer aanwezig is en dus succesvol wordt geblokkeerd. Nogmaals: doordat hij de code blokkeert als je n van de bovenstaande methodes probeert, is 'ie dus niet meer aanwezig op jouw systeem (omdat hij geblokkeerd wordt) :).

[Reactie gewijzigd door AnonymousWP op 14 november 2017 10:52]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*