Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Albert Heijn-actiepagina en andere sites bevatten coinminer in cookiescript

Door , 304 reacties

Een actiepagina van Albert Heijn bevat een miningscript waarmee de cpu van bezoekers wordt gebruikt voor coinmining. De boosdoener is een cookiescript dat ook aanwezig blijkt te zijn op andere websites, waaronder Nederlandse sites.

De code op de Albert Heijn-pagina voor een kerstactie werd opgemerkt door een oplettende tweaker. Verder onderzoek door Tweakers samen met beveiligingsonderzoeker Willem de Groot wijst uit dat de code op de site in een cookiescript van de dienst cookiescript.info zit, waar gebruikers een cookiemelding met toestemmingsvraag kunnen aanmaken. Volgens De Groot maken 243 sites van die code gebruik, waaronder glow.nl en pegasusinternet.nl.

Hij zegt: "Ik denk niet dat de dienst van het cookiescript de code er zelf heeft ingezet, anders hadden ze niet bij DigitalOcean gehost. Dat zet een server bij misbruik meteen uit, dus als je zelf een server kiest dan zou je eerder voor een bulletproof hoster gaan." Kwaadwillenden maken meestal gebruik van kleinere en minder bekende hostingpartijen. Bij de coinminer in kwestie gaat het om Crypto-Loot, die zich als alternatief voor Coinhive aanprijst. Bij een bezoek aan een van de sites met de desbetreffende code gaat de cpu-belasting van het systeem van de bezoeker naar honderd procent, zonder dat er een waarschuwing wordt getoond. Dit levert de verantwoordelijke partij uiteindelijk de cryptovaluta Monero op.

Volgens De Groot komt Crypto-Loot niet veel voor, maar hij stelt dat dit kan veranderen doordat Coinhive inmiddels op veel plaatsen wordt geblokkeerd. De onderzoeker kwam de id waaraan de miningactiviteit is verbonden, niet op andere plekken tegen. Soms is aan de hand van een id een grotere campagne in beeld te brengen. Hij acht het mogelijk dat degenen achter de huidige miner bij cookiescript-info binnen zijn gekomen en de miner hebben geplaatst. Er zijn geen indicaties dat Albert Heijn zelf is gehackt.

Coinmining via de browser nam een vlucht nadat Coinhive een JavaScript-tool daarvoor geïntroduceerd had. Veel partijen kopieerden de techniek en bieden hun eigen variant aan, waarbij vaak geen toestemming wordt gevraagd. De Groot trof Coinhive-code onlangs aan op 2500 webwinkels. Tweakers wijdde een uitgebreider artikel aan het verschijnsel, ook wel bekend als cryptojacking. Een woordvoerder van Albert Heijn kon nog niet direct reageren op vragen van Tweakers.

Update, 14:30: Een woordvoerder van Albert Heijn laat aan Tweakers weten dat de pagina in kwestie inmiddels offline is gehaald en dat er 'hard wordt gewerkt aan een oplossing'. De pagina moet zo snel mogelijk weer beschikbaar zijn. Over de oorzaak wil de woordvoerder niets zeggen, omdat 'er met meerdere partijen contact is om de oorzaak te onderzoeken'. Daarom bleef de vraag hoe lang de pagina op deze manier online heeft gestaan vooralsnog onbeantwoord. Het feit dat de coinminer aanwezig was, was een totale verrassing, aldus de woordvoerder.

Update, 16:36: De beheerder van de overige Nederlandse pagina's zegt dat deze inmiddels eveneens zijn aangepast.

Door Sander van Voorst

Nieuwsredacteur

13-11-2017 • 12:36

304 Linkedin Google+

Reacties (304)

Wijzig sortering
IDD

Een versie voor routers heeft mijn voorkeur, maar een versie voor nas4free zou ik ook niet erg vinden. Maar dat is gebaseerd op free BSD dus zal wel niet gebeuren. best of both worlds:-)
Ja freebsd support voor pihole zou fijn zijn, dan kan het op een opnsense install er bij gezet worden...
Hmmm, nu al Nas4free (met ZFS in een active directory) Nextcloud, Opensense en dan met Pi-hole.

Ik zie zoiets als best of both worlds
Op zich een goed idee, maar dan bescherm je alleen je eigen huishouden. Voor laptops die mee worden genomen en op verschillende (inter)netwerken zitten, lijkt me een AdBlocker met de betreffende filters doeltreffender.
Waar ik ook ga, ik leg een vpn aan naar huis. Veilig en nog steeds reclame vrij ;)
Suggestie voor in Adblock toe te voegen filter lijkt niet te werken...
Foutmelding: "Ongeldige URL naar de filter. Deze filter zal verwijderd worden."
Ik kan je aanraden om dan het filterabonnement toe te voegen van NoCoin. Dat kan hier: https://adblockplus.org/subscriptions#type_other
Nou dan moet je elk website helemaal gaan controleren of ze geen gevaarlijke/slechte cookies hebben en zo, nee dank je ik blokkeer alles gewoon via uBlock Origin en Disconect en Cookies Self-destuct, dan weet ik bijna zeker dat ik geen spamware/adware en zo krijg op mijn computer, er is niks veilig aan Cookies en reclame, is vaak genoeg gebeurd dat je wat binnen kreeg via dat op je computer.
Ook het indirectere tracken en advertenties tonen gebruiken resources en dus stroom, dus ook daarmee wordt jij met meerkosten opgezadeld waar je wellicht niet op zit te wachten. Vast minder dan javascript dat veel CPU resources gebruikt, maar desalnietemin meerkosten.
Een witte achtergrond kost ook meer stroom dan zwart. Moet ik Tweakers nu aanklagen voor deze ongewenste meerkosten? Bij alle websites zitten onderdelen die wellicht voor gebruikers onnodig zijn. Hoe ga je dit juridisch onderscheid maken? Zeker gezien diverse personen dit liever willen dan advertenties. Straks krijgen we 10 meldingen en opties voordat we een website kunnen bezoeken.
Dat is dus precies m'n punt. Hoe ga je juridisch onderscheid maken wat wel en niet mag. Het script om te minen doet niets kwaadaardigs met of via je computer. Er is dus geen sprake van kwade opzet of schade. De enige "schade" is financiele schade omdat het meer stroom kost, maar zoals al gezegd kosten andere zaken ook meer stroom (advertenties etc), dus vanaf welk punt kun je dan de lijn gaan trekken wat wel en niet mag? Lijkt me juridisch gezien nog knap lastig.
We zijn het dus eens, dan reageer je op de verkeerde :-P Dat wordt een heikele kwestie. Al lijkt er omtrent het heimelijk kapen van computerkracht voor eigen gewin wel een artikel te zijn:
Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens
a. met het oogmerk zich wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;
https://www.om.nl/vaste-o...oeken/@23755/wetsartikel/

Maar hoe ga je geaccepteerd gebruik van processorkracht (websites die aangeven te minen, in plaats van advertenties te serveren) onderscheiden van de rest? Ik voorzie een miningmelding naast de huidige cookiemelding.
Mja, mijn punt is dus dat het plaatsen van advertenties ook gebruikt maakt van verwerkingscapaciteit met het oogmerk om er voordeel uit te halen. En dan zit je dus inderdaad met het punt van hoe ga je het zo inrichten dat het gebruik van resources voldoet aan het wetsartikel. Advertenties doen er in principe ook niet aan, en dat kun je dan dus ook doortrekken naar coin mining.

Sowieso lijkt me er geen sprake van computervredebreuk. Zoals in de reactie hierboven ook aangegeven. MsG in 'nieuws: Albert Heijn-actiepagina en andere sites bevatten coinminer i...

Er wordt niet binnengedrongen maar vrijwillig een pagina bezocht. Dat is wezenlijk iets anders dan binnendringen en dat is toch wel een zwaarwegende voorwaarde om iets te kenmerken als computervredebreuk.
Als dat je standpunt is an zou je advertenties ook niet acceptabel moeten vinden want ook die gebruiken resources en brengt dus extra stroomverbruik met zich mee, wat jou op kosten jaagt. Vast minder dan een coin miner (alhoewel je die ook zou kunnen limiteren in resourcegebruik) maar ook ads leveren je extra stroomkosten en een tragere computer op.
Steelt niks? Zeer zeker wel. Stop maar eens een stroom-meter tussen je PC en het stopcontact en kijk wat het verbruitk. Open dan de pagina met de coin-miner en kijkt hoeveel stroom het dan verbruikt. Dan ga je nog aardig schrikken kan ik je vertellen. Tuurlijk is het wel stelen, maar eerlijk gezegd vind ik dat van ads net zo goed. Die kosten ook extra stroom.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*