Troy Hunt neemt domeinnaam van Coinhive over en toont waarschuwing op websites

Beveiligingsonderzoeker Troy Hunt heeft het domein van cryptojacker Coinhive overgenomen. De maker van Have I Been Pwned gebruikt het domein om tienduizenden websites te waarschuwen dat ze de cryptominer nog steeds online hebben staan.

Troy Hunt, de oprichter van wachtwoorddatabase Have I Been Pwned, zegt in een blogpost dat hij Coinhive.com in mei 2020 gratis kreeg aangeboden door een anonieme persoon. Dat gebeurde op voorwaarde dat hij er iets nuttigs mee zou doen. Hunt zegt dat er nog steeds veel mensen op het domein komen; op het hoogtepunt waren dat er 3,63 miljoen per dag. Coinhive is al meer dan twee jaar niet meer bereikbaar.

Het was enkele jaren geleden de belangrijkste verspreider van cryptojackingmalware. De tool werd vaak verspreid als malware en soms bewust op websites geïmplementeerd om cryptovaluta te minen. Coinhive maakte gebruik van een stukje JavaScript dat monero genereerde voor een adres van Coinhive. De dienst zei daar op het hoogtepunt 250.000 dollar per maand mee te verdienen.

De dienst stopte in 2018. Intussen bleef de cryptominer op duizenden websites staan. De miner deed daar niets, omdat Coinhive niet meer bestond. Desondanks wist Hunt na de domeinovername te onderscheppen hoeveel sites nog steeds verbinding probeerden te leggen met de originele server. "Ze minen natuurlijk geen crypto meer, maar deze site bevatten nog steeds JavaScript van een domein waar ik de controle over heb", schrijft hij.

Hunt heeft daarom ingesteld dat websites die de cryptojacker nog bevatten, een pop-up laten zien met een waarschuwing. Daarop staat dat de site 'probeerde een cryptominer in de browser te draaien', met daarin een link naar zijn blogpost. Hunt zegt dat hij lang heeft nagedacht of hij dat wilde doen. "Wilde ik echt de websites van anderen aanpassen? Ik wilde websitebeheerders laten weten dat er een grote kans is dat ze zijn gecompromitteerd, maar hoe doe je dat anders als je het over tienduizenden sites hebt?" Hunt zegt dat hij in theorie ook andere dingen met de JavaScript had kunnen doen, zoals keyloggers of andere malware installeren.

Coinhive waarschuwing

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 01-04-2021 13:1660

01-04-2021 • 13:16

60 Linkedin

Lees meer

Britse politie geeft Have I Been Pwned 226 miljoen nieuwe wachtwoorden Nieuws van 20 december 2021
'Maleisische autoriteiten walsen 1069 miningrigs van elektriciteitsdieven plat' Nieuws van 18 juli 2021
FBI deelt voortaan uitgelekte wachtwoorden met Have I Been Pwned Nieuws van 28 mei 2021
Monero-website bevatte korte tijd binary met malware die cryptovaluta stal Nieuws van 20 november 2019
Ransomwareaanvallen op bedrijven stegen vijfhonderd procent sinds vorig jaar Nieuws van 26 april 2019
Backdoortrojan richt zich op Linux-servers en verspreidt cryptominer Nieuws van 15 februari 2019
'Coinhive al jaar lang malware met grootste impact voor bedrijven' Nieuws van 18 december 2018
Amerikaanse toezichthouder roept mensen op cryptojacking te melden Nieuws van 8 juni 2018
'Opt-in-variant van Coinhive-cryptominer wordt nauwelijks gebruikt' Nieuws van 27 februari 2018
Meer producten en artikelen
Beveiliging en antivirus cryptocurrency

Reacties (60)

-Moderatie-faq
60
58
43
2
0
14
Wijzig sortering
uip
1 april 2021 13:19
Mooie actie van die Hunt.

Spijtig natuurlijk dat er geen organisatie is die die "anonieme persoon" kon helpen. Het is een beetje raar dat die daarvoor contact opnam met Hunt.

Waar blijft de internationale organisatie tegen internetcriminaliteit, die dit zou kunnen behartigen?
Thyrosis
@uip1 april 2021 13:55
Ik denk juist niet dat het raar is.

Troy is een vrij bekende naam als je je een beetje bezig houdt met online security, grote datalekken etc. Niet alleen door zijn Have I Been Pwned-project maar ook door zijn vaak uitgebreide en spijker-op-zijn-kop blogposts.

Als je dan al van je domein af wil wat zo controversieel is als coinhive.com, dan weet je in ieder geval dat er goed mee om wordt gegaan als je het aan Troy Hunt geeft.
kodak
@Thyrosis1 april 2021 16:00
Je hebt wat meer zekerheid dat hij er geen kwade bedoelingen mee heeft. Maar of dat goed omgaan met het domein is betwijfel ik op dit moment. In plaats van te kiezen voor een manier die heel veel websites niet aanpast, kiest hij er voor om bijna een jaar te wachten en dan zo min mogelijk zelf te doen om de eigenaren eerst zelf te informeren en ze meteen aan de schandpaal te nagelen. Ik zou het tenminste niet redelijk vinden dat als je niet weet wat de oorzaak van een probleem is je vervolgens vooral iedereen die langs komt maar gaat uitleggen dat iemand anders een probleem heeft of zou veroorzaken. Meestal ga je dan eerst naar de personen zelf toe om uit te leggen dat er een probleem is zodat ze er van weten en er echt iets aan kunnen doen. Wat Hunt hier doet is op zich daarmee toch nog controversieel te noemen en ik vraag me af of dit wel de bedoeling van die anonieme persoon was die duidelijk een mening had dat er iets nuttigs mee gedaan moest worden.
The-Priest-NL
@kodak1 april 2021 17:40
Weet je hoeveel tijd hij nu al vaak kwijt is om met één partij contact te krijgen in het geval van een breach?

En nu zou je dus willen dat hij dat voor #xxxxx sites gaat doen? Ik denk niet dat hij zo lang leeft.
kodak
@The-Priest-NL1 april 2021 17:57
Ik weet niet hoe moeilijk hij doet om contact op te nemen, behalve dat ik nu lees dat hij daar kennelijk zo min mogelijk tijd aan wil besteden en ondertussen wel zelf eerst een jaar de tijd neemt om niets te doen.
Dus vertel me maar, wat is er werkelijk onredelijk aan en te kiezen voor de makkelijke weg zonder rekening te houden met wereldwijde afspraken, automatisch te verkrijgen contactgegevens en die een paar keer een mail te sturen?
Spykie
@kodak1 april 2021 18:03
Waarom zou hij daar tijd aan moeten besteden? Het is zijn goed recht er zo weinig mogelijk tijd aan te willen besteden. Top dat hij er in ieder geval iets mee doet.

Je bent bezig met een erg bijzondere kruistocht.
kodak
@Spykie1 april 2021 18:25
Omdat hij de verantwoordelijkheid heeft genomen over het domein terwijl hij duidelijk weet hoeveel controle hij daarmee over duizenden andere sites en miljoenen gebruikers heeft. Hij lijkt wel de macht te gebruiken om er met ook zelf beter van te worden (hij legt duidelijk uit wat het voordeel voor zijn for profit bedrijf is om ongevraagd inzicht te krijgen) maar niet zelf veel verantwoordelijkheid te willen nemen over de gevolgen die meer zijn dan waarschuwen.

Dat heeft niets met een kruistocht te maken, het is openlijk discussie willen voeren over mogelijke (on)redelijkheid en eenzijdigheid bij (vermeende) weldoenerij. Ik heb er niets op tegen dat Hunt goed wil doen, maar laten we ook niet doen alsof Hunt maar kan doen wat hij wil omdat hij het kan en een beetje kritiek dan al een kruistocht is.

Ik heb in alle reacties nog niemand een argument zien geven waaruit blijkt dat Hunt niet beter die gebruikelijke weg had kunnen volgen. Wat ik wel lees zijn suggestieve argumenten om het zogenaamd te verdedigen, reacties dat het de schrijver niet zoveel uit maakt of verdediging op de persoon enkel omdat die iets doet of heeft gedaan of kon. Het heeft er zo veel van weg dat het hebben over ethiek niet zo gewenst is als iemand de weldoener kan uithangen.

[Reactie gewijzigd door kodak op 1 april 2021 18:32]

Spykie
@kodak1 april 2021 19:27
Effort vs. Impact.

Geen haar op mijn hoofd die vrijwillig contact gaat zoeken met met tienduizenden domein eigenaren. Ik beheer zelf tienduizenden domeinen en om die klanten te bewegen tot actie is al een nachtmerrie.. ik moet er niet aan denken dat ik dat ook nog eens via tientallen registry's zou moeten spelen (zoals jij suggereert).

Als jij denkt dat dit te scripten is: Put your money where your mouth is. Maak het. Opensource het.

edit: typo
edit: Ik vind je standpunt trouwens bewonderingswaardig maar niet heel realistisch.

[Reactie gewijzigd door Spykie op 1 april 2021 19:29]

kodak
@Spykie2 april 2021 12:43
Kan je aangeven wat het volgens jou voor Hunt niet realistisch maakt? Want ik lees nergens waar echt het probleem zou zitten, behalve suggestie dat het toch wel (weer) te veel moeite zal gaan kosten. Ik lees namelijk niet waar de moeite dan echt in zit, vooral beweringen dat het eerder te veel moeite zou hebben gekost of zelf alvast maar aannemen dat het niet de moeite is. Dan gaat het natuurlijk niet werken, maar zelfs daar lees ik Hunt niet over. Wat is nu werkelijk de moeite om op te zoeken hoe je contact krijgt en de eigenaren van die websites gaat overtuigen? De adressen zijn automatisch om te zoeken. Zit het dan in het schrijven en overtuigen? Want Hunt kon makkelijk stellen dat ze 3 maanden hadden op het op te ruimen (hij nam er zelf een jaar voor en het is nu 2 jaar na het stoppen van het domein) en dat hij anders bezoekers duidelijk zou laten weten dat de site niet helemaal veilig is door het bestaan van het script.
Spykie
@kodak2 april 2021 17:36
Dat contact zoeken is écht niet te doen. Zie ook Spykie in 'nieuws: Troy Hunt neemt domeinnaam van Coinhive over en toont waar...
Fireshade
@kodak1 april 2021 17:33
Meestal ga je dan eerst naar de personen zelf toe om uit te leggen dat er een probleem is zodat ze er van weten en er echt iets aan kunnen doen.
Jij zou dus van die tienduizenden websites eerst een emailadres opzoeken en die contacteren met die correspondentie? Waarvan de eerstelijns info@... lezer vaak al niet weet wat hij/zij met je informatie aan moet, en misschien wel weggooit als solliciting spam.
kodak
@Fireshade1 april 2021 17:50
Nee, als je last van beveiligingsproblemen op een website of domein hebt kan je bij de registry automatisch navragen naar welk adres je klachten het beste kunt sturen. Dat zijn adressen die niet vrijblijvend zijn maar je meestal verplicht moet gebruiken en op moet reageren, omdat de registry of hoster ander je domein of account beperkt omdat je hun diensten gebruikt om vele anderen tot last te zijn. Dat je daarnaast nog andere adressen kan proberen te gebruiken is een eigen keuze, maar niet perse nodig. En vooraf al aannemen dat iemand iets niet zal doen lijkt me niet redelijk. Dat is nogal vooringenomen en lijkt me meer een excuus als je zelf iets niet wil, zoals rekening houden met bestaande afspraken hoe we als Internetters het internet wereldwijd al jaren schoner houden en krijgen.
MultiGeo
@kodak1 april 2021 18:06
Dat klinkt simpeler dan het is.
Op mijn eigen website zie ik vele bots voorbijkomen. Sommige zijn ok (search.msn, etc.) andere zijn malafide en op zoek naar kwetsbaarheden.
Veruit de meeste zie ik alleen als IP-adres en niet als webadres (ook die afkomstig vanuit gehackte websites). Om uit te zoeken wie daarachter zit is niet eenvoudig, ook omdat bij shared hosting sites, vaak meerdere websites op 1 IP-adres zitten en dan werkt reverse dns ook niet altijd.
Als ze ook nog via een proxy of vpn komen is het helemaal zinloos.
Ik heb het ooit voor 1 gehackte site geprobeerd, maar ben daar mee gestopt.
Er gaat zo ontzettend veel tijd in zitten, dat het niet loont.
Ik heb meldingen gemaakt bij VPN operators en die sluiten het dan af, en het komt via een andere account op dezelfde vpn een uurtje later weer terug :(
kodak
@MultiGeo1 april 2021 18:52
Hunt schrijft te weten om welke domeinen het gaat. Dat is dus het probleem niet. En ongeacht of die gebruik maken van een proxy, dan heb je dus alsnog ook de mogelijkheid om zowel aan de domeinhouder, de hoster, de registrar en zelfs de registry duidelijk te maken wat het exacte proleem is, hoe lang er al niets aan is gedaan en te wijzen op de voorwaarden die ze samen aangegaan zijn. En dat alles is te scripten, net zoals hij wel moeite wil nemen om scripts te maken en status bij te houden waardoor hij er oa voor zijn bedrijf reporturl er iets aan heeft. Het zijn professionals (dat laat Hunt ook duidelijk merken door zijn belang aan te geven), geen volledige vrijwillige weldoeners die nauwelijks kunnen scripten of geen middelen om te scrapen, geen status kunnen bij te houden of niet op logische beslissingen te informeren.
curkey
@kodak2 april 2021 11:21
Mensen hebben dus de deur naar hun huis (al dan niet) per ongeluk op een kier laten staan. In plaats van even aan te bellen en hallo te roepen, zeg je nu dat Troy maar langs moet gaan bij de gemeente en het kadaster om de juiste communicatiewegen op te vragen.

Jouw insteek is ethisch misschien wel het mooiste, maar dat is hoe het internet werkte in de jaren '90. Hedentendage is dit niet meer realistisch.

Ik bedoel, ik weet niet hoeveel vrije tijd jij hebt om voor zoveel adressen dit soort data op te sporen en op te volgen, zonder er zelf iets aan te verdienen?
goats
@kodak2 april 2021 11:51
Het kost gemiddeld 4 uur om een mail te sturen naar een organisatie, die zijn eigen zaakjes niet op orde heeft. Als ze dit soort zaken niet op orde hebben, zullen ze al helemaal niet luisteren naar iemand die hierover een melding maakt.

Ik maak vaak genoeg meldingen van problemen met websites, maar alleen al erachter komen bij wie je moet zijn is bijna onmogelijk.

Dit is de enige juiste actie. Gratis security advies.
kodak
@goats2 april 2021 12:27
Het ontbreekt mij te veel aan omschrijving waar je die 4 uur per mail dan voor nodig hebt. Daarbij is Hunt behoorlijk bekend en kon hij duidelijk aangeven dat als ze niet op tijd actie zouden ondernemen hij zwaardere middelen zoals deze meldingen naar bezoekers zou gaan inzetten. Om iets gedaan te krijgen is nu eenmaal ook wat overredingskracht nodig, dat is ook hoe een probleem oplossen werkt. Je gaat anderen niet perse overtuigen door maar te klagen of op een andere manier negatief te doen.

Hunt heeft hier, zoals hij zelfs omschrijft, al heel duidelijk bij welk domein welke scripts op welke plaats en op welk moment een risico vormen en een bijna standaard omschrijving wat dat risico is en wat er tegen te doen. Het enige wat Hunt nog lijkt te hoeven doen is automatisch die contactgegevens opvragen (daar is het voor gemaakt), automatisch een mails met bijna allemaal dezelfde inhoud en enkele variabelen genereren en verzenden (Daar is hij duidelijk goed in aan zijn blog te zien). Over een jaar tijd lijkt me dat hem behoorlijk weinig tijd per domein te gaan kosten.
Tjidde
@uip1 april 2021 14:30
Wat is er strafbaar aan een JS file aanpassen waar jij de rechten tot hebt? Deze een pop-up laten showen en niets anders doen?

Het is wat anders als via een JS bestanden of data aangepast wordt. Wat wel mogelijk is.

Of dit de beste manier is om te zorgen mensen Coinhive.js verwijderen van hun sites is een ander verhaal. Aan de andere kant het is bijna onmogelijk om alle sites persoonlijk te mailen met de melding je gebruikt nog een JS-library die je moet verwijderen, want Coinhive bestaat niet meer.
kodak
@Tjidde1 april 2021 16:09
Dat hij de rechten heeft gekregen om controle over dat domein te hebben wil alleen nog niet zeggen dat je dus ook maar alles met die controle kan doen omdat het kan. Zeker niet als je weet dat het gevolgen voor duizenden andere sites gaat hebben en voor miljoenen bezoekers. Die eigenaren van de websites lijken namelijk niet vrijwillig invloed van dat domein te hebben, dan ga je niet zomaar zelf bepalen wat goed voor een ander is.
Dan is de volgende vraag of Hunt dan een doel heeft wat het redelijk maakt, waarbij je dan gewoonlijk ook hoort te kijken naar andere mogelijkheden om dat doel te bereiken zonder meteen zoveel invloed op de werking van andere sites te hebben. Ik lees niet dat Hunt daar serieus naar gekeken heeft, ik lees ook niet dat hij zich verdiept heeft hoe je normaal die beheerders van die websites kan bereiken, ik lees ook niet echt een afweging dat dit dan de beste oplossing zou zijn. Wat ik wel lees is dat hij zich bewust is dat hij invloed heeft op zoveel sites en bezoekers en dat maar voor lief lijkt te nemen.
The-Priest-NL
@kodak1 april 2021 17:43
Als er iemand is die juist wel serieus kijkt en weet hoe je met de beheerders in contact moet/kan komen is het Troy wel. Misschien eens wat van zijn blogposts lezen hierover of zijn YouTube kanaal bekijken.
kodak
@The-Priest-NL1 april 2021 18:11
Dat Hunt goede bedoelingen heeft betwijfel ik niet, maar als je een jaar lang wacht om niet te informeren en dan plotseling maar de weg kiest die voor hem zelf het makkelijkste lijkt klinkt toch niet snel als serieus genoeg een keuze te hebben gemaakt. Sterker nog, hij schrijft in zijn blog over heel veel hoe hij er over denkt, maar precies over dat afwegen nauwelijks iets. Waar hij wel over schrijft is dat het hem en zijn for-profit bedrijf reporturi er iets aan hebben. Dan kan je toch echt niet zomaar meer aankomen met hij zal er dus wel serieus over nagedacht hebben. Serieus ergens over nadenken is ook laten zien dat je rekening met de belangen van anderen wil houden, niet alleen de belangen die je zelf goed uit komen.
The-Priest-NL
@kodak1 april 2021 19:14
Ik bedoelde niet specifiek zijn blog hierover maar over een aantal breaches en hoe lang hij daar bezig is geweest om contact te krijgen. Bijvoorbeeld https://www.troyhunt.com/...uring-breach-disclosures/

Of

https://www.troyhunt.com/...cceed-after-youve-failed/

Die laatste is het mooiste, 5 maanden om in contact te komen

[Reactie gewijzigd door The-Priest-NL op 1 april 2021 19:20]

kodak
@The-Priest-NL2 april 2021 13:10
Het is natuurlijk treurig in de gevallen dat het veel moeite kost. Alleen zijn dat situaties waarbij Hunt kennijk geen simpel verzoek heeft met een duidelijke situatie wat er aan de hand is of valt te doen. Geen reactie krijgen wil niet zeggen dat er niets met het lek is gedaan. Daarbij wil hij dan ook iets extra, dat ze klanten gaan informeren en hij geen reactie krijgt. Dat is voor mij wel wat anders dan ik krijg geen reactie dus er is echt niets mee gedaan. Iets wat hij in dit geval wel kan te meten, en blijkbaar doet.

Dat het niet altijd makkelijk is om alles gedaan te krijgen wat je verwacht dat ben ik met die artikele eens, maar ik lees er niet in dat het bijna altijd maar te veel moeite kost of zelfs zonder waarde zou zijn. Op de duizenden meldingen die ze hebben gedaan lees ik niet dat iets gedaan krijgen wat simpel is echt niet lukt. Wel dat bepaalde verwachtingen over reageren of melden niet altijd aandacht krijgen die ze willen. Is dat dan maar een goed excuus om anderen dan maar te behandelen alsof ze dus ook maar te weinig of niets doen om het voor jezelf makkelijker te maken? Ik betwijfel het.
dycell
@uip1 april 2021 13:32
Onder welke wetgeving moeten die handhaven dan? Wat kunnen ze überhaupt doen als er geen misdaad is begaan?

In princiepe is Hunt hier al best ver gegaan door deze banner te laten verschijnen. Ik denk dat hij zich hier juridisch ook wel eerst over heeft laten informeren.
ge-flopt
1 april 2021 13:39
Is er een overzicht van geraakte websites?
Maurits van Baerle
@ge-flopt1 april 2021 14:27
Hier heb je de eersten, morgen nog eens kijken. 😀

https://www.google.com/se...ominer+in+your+browser%22
dutchgio
1 april 2021 13:22
Aan de ene kant is dit goed, aan de andere kant leg je nu een fout van de website beheerder bij de gebruiker neer door zo'n foutmelding weer te laten geven.
Hoewel het een signaal schept dat de site niet goed onderhouden wordt doordat er nog een oude include van op geplaatst is, had dit geen impact doordat het domein al jaren offline is.
YStec
@dutchgio1 april 2021 13:29
Dit is de enige manier om alle beheerders actie te laten ondernemen, omdat er nu *merkbaar* iets mis iets. Dat de gebruikers het ook zien, legt er nog eens extra druk op.

En het is nogal belangrijk, want zolang de oude code van CoinHive wordt aangeroepen, kun je er hele malafide dingen mee doen. Uit het artikel: "Hunt zegt dat hij in theorie ook andere dingen met de JavaScript had kunnen doen, zoals keyloggers of andere malware installeren."

Liever zo dan stilletjes proberen weg te krijgen.
kodak
@YStec1 april 2021 13:55
Dat dit de enige manier is lijkt me onzin. Domeinen en websites hebben vaak contactgegevens en daarnaast zelfs een verplicht abuse adres om iets aan overlast te laten doen. Hunt kan dus prima eerst contact met die adressen opnemen. Als dan blijkt dat dat niet helpt kan je naar de registry gaan om aan te geven dat de eigenaren zich niet aan de voorwaarden houden. Als dat niet helpt kan je duidelijk maken dat die eigenaren en registries hun verantwoordelijkheid niet zouden nemen. Meteen maar websites aanpassen en gebruikers confronteren zonder eerst gelegenheid te geven om te weten van een probleem en daar iets aan te kunnen doen klinkt niet heel verantwoordelijk.
Loekie
@kodak1 april 2021 14:07
Je voorstel schaalt niet over 10000-en sites heen met registries die globaal verspreid zijn.

An sich is het de websitebeheerder die de bezoeker van zijn site in gevaar brengt door zijn includes niet op orde te hebben, er is ergens een vliegmaatschappij in de UK die hetzelfde issue had en daar een pittige boete voor heeft gekregen. https://www.bbc.com/news/technology-54568784

Dit is een onschuldige popup, maar je had ook requests kunnen rerouten, inlogdata oogsten etc, als beheerder van een site heb je gewoon(als je enigszns serieus bezig bent in ieder geval) de verantwoordelijkheid je gebruikers te behoeden voor kwaadaardige code die jouw site bij de gebruiker in de browser injecteert.

Persoonlijk vind ik het dus een goede actie, proportioneel tav het issue en ook informatief voor zowel de beheerder als de bezoeker.
kodak
@Loekie1 april 2021 15:41
Wat is er niet schaalbaar aan? Het opzoeken van die adressen is automatisch te doen. Kost je hooguit een paar uur wachten, op een totale tijd om niets te doen van ruim een jaar.
Het enige wat Hunt dan hoeft te doen is kijken waar de berichten niet aankomen, het later nogmaals te proberen, om hooguit als het nodig is die registries aan te schrijven (wat op het zelfde principe kan)
Daarnaast hoeft Hunt niets extra te doen dan hij kennelijk nu al doet, kijken of het effect heeft en waar nodig die registries aanschrijven.
batjes
@kodak1 april 2021 16:13
Hoe wou je dat automatiseren dan? Niet elk domein heeft de gegevens goed ingevuld, de meeste hebben er geen eigen contact gegevens in staan. Genoeg websites hebben geen contact pagina. Als je geluk hebt staat het in de footer. De contact pagina's zijn niet allemaal domein.ext/contact-us, laat staan de mogelijk 200 verschillende talen die in de wereld gebruikt worden.

Zo'n script flats je niet even in elkaar.
kodak
@batjes1 april 2021 16:36
Er zijn wereldwijd afspraken over het beschikbaar zijn van deze contactgegevens, wie je kan informeren als iets niet lukt, en dat is behoorlijk geformaliseerd. Dat er vast wel (al dan niet opzettelijke) fouten tussen zitten kan je zelfs in de meest officiële databases verwachten, dus dat is niet zomaar een relevante beperking.
Al sinds de vorige eeuw worden deze manieren van contactgegevens uitwisselen gebruikt om problemen zo snel mogelijk bij de juiste bedrijven en organisaties te laten oplossen, ik zie niet hoe Hunt daar opeens meer problemen mee zal hebben, afgezien dat het hem wat extra tijd kan kosten. Extra tijd die hij kennelijk zelf al een jaar neemt om niemand te informeren en het maar te bestaan.
batjes
@kodak1 april 2021 18:54
Zoek voor de gein de WHOIS eens op van Tweakers.net. Enige contact is TransIP en Key-Systems :) Bijna geen enkele site heeft hun eigen contact gegevens in hun WHOIS staan. Zelfs Google heeft hun contact gegevens niet in hun WHOIS staan. (Apple, MS en Facebook weer wel).

Of heb je het over een ander systeem? Want de WHOIS is de enige die ik ken en daar staan doorgaans de gegevens van de registrar in. Een registrar hierover mailen heeft geen enkele zin, die doen daar helemaal niets mee.

Je zou abuse@domain.ext kunnen proberen, de grotere partijen hebben dat wel en serieuze internet bedrijven vaak ook wel. Maar de kleine hobbisten of MKB hebben dat 9/10 keer ook gewoon niet.

Er is niet 1 manier om elke website ter wereld te contacteren. Je zal verschillende manieren moeten implementeren en daar weer tig duizend edge cases op inbouwen.... Een javascriptje met een pop-up melding is veel makkelijker. Troy heeft waarschijnlijk wel meer te doen.

Zoals ik elders op je gereageert hebt, voel je vrij om je tijd op te offeren hiervoor en neem contact op met Troy.
Spykie
@batjes1 april 2021 19:35
Dat is niet helemaal correct. In de WHOIS
van tweakers.net staat informatie over de manier waarop je contact kan krijgen met de beheerders van Tweakers. Maaaaar daar heb je wel direct zo'n heeerlijke edge case:Succes met 10k domeinen
#onwerkbaar
PepijnK
@batjes1 april 2021 17:37
Je zou de verschillende WHOIS databases kunnen afstruinen. Dat is behoorlijk te automatiseren, dus daar zie ik het probleem niet in.

Wel zie ik een probleem in de externe consistentie van de gemiddelde WHOIS database. Want vaak staan er gegevens in van de registrar en niet van degene die daadwerkelijk het domein gebruikt. Leuk zo'n abuse adres van godaddy of een dergelijke toko, maar dat is niet degene die je eigenlijk wil bereiken. En dan laat ik de registraties die via een katvanger lopen nog even buiten beschouwing.

Het zou mij ook niet verbazen als dit soort diensten bijvoorbeeld door een scam site werden gebruikt als een bron van extra inkomsten. En het is niet alsof die scam site zich ene jota aan gaat trekken van meneer Hunt.

Zo'n popup is grof geschut, maar ik denk wel het meest effectieve. Voor legitieme sites zullen de bezoekers van die site snel genoeg contact opnemen met het bedrijf achter de site. Of als het goed is ziet de beheerder van die site de melding zelf binnen een dag verschijnen en grijpt in.
luwak
@kodak1 april 2021 14:34
Niet mee eens. In het artikel zeg hij ook de volgende:
...Ik wilde websitebeheerders laten weten dat er een grote kans is dat ze zijn gecompromitteerd, maar hoe doe je dat anders als je het over tienduizenden sites hebt?"
. Om al die stappen te ondernemen en dat duizenden keer moet doen lijkt mij vrij zinloos of hij moet heel veel vrije tijd hebben om dat te kunnen doen, dus ik vind het goed dat hij op deze manier mensen waarschuwen.
kodak
@luwak1 april 2021 15:16
Je kan het er niet mee eens zijn, maar het is wel gebruikelijk dat je die contactgegevens gebruikt en daar wat moeite voor doet. Die contactgegevens zijn er namelijk niet voor niets. Daarbij is het een feit dat er met het bestaan van deze manier van informeren ( die zelfs is opgenomen in RFC en verplichtingen van registries) dus maakt dat er meer manieren zijn, in tegenstelling tot wat @YStec beweert.
Dat Hunt er niet zo veel moeite voor wil doen vind ik te gemakkelijk. Veel van die contactgegevens zijn net zo makkelijk automatisch te verkrijgen en een reactie naar te sturen dat Hunt dat prima moet kunnen als hij het informeren van de eigenaren zelf echt zo belangrijk zou vinden. En niet weten hoe hij ze anders kan informeren lijkt me flauwekul. Met een beetje zoeken kom je daar al snel achter, hij heeft een groot netwerk van mensen die weten hoe je anderen kan informeren en wat gebruikelijk is.
zwartpet
@luwak1 april 2021 14:41
Een lijstje maken met de domein namen, daar de registratie contacten en dergelijke van ophalen om vervolgens een mailtje te sturen is op zich nou ook niet heel veel werk. Is prima een scriptje voor te schrijven.
Niet iedere web beheerder zal die mail alsnog ontvangen/lezen, maar zo geef je ze in ieder geval de kans om het aan te passen zonder dat je gelijk popups gaat tonen.

Kan me goed voorstellen dat bedrijven hierdoor inkomsten mis zouden kunnen lopen. Ik zal na zo'n melding namelijk niet meer iets via deze website willen kopen.
luwak
@zwartpet1 april 2021 15:04
Dat kan maar ik acht de kans klein dat dergelijke mail wordt gelezen door de beheerder, als ze uberhaupt beheerder hebben.
De dienst stopte in 2018. Intussen bleef de cryptominer op duizenden websites staan. De miner deed daar niets, omdat Coinhive niet meer bestond. Desondanks wist Hunt na de domeinovername te onderscheppen hoeveel sites nog steeds verbinding probeerden te leggen met de originele server. "Ze minen natuurlijk geen crypto meer, maar deze site bevatten nog steeds JavaScript van een domein waar ik de controle over heb", schrijft hij.
Als al die websites na 2 jaar nog steeds dezelfde code bevatten, dan is de kans groot dat die websites wordt niet of weinig onderhouden of dat ze gewoon geen beheerder hebben om de websites te onderhouden. Daarom vind ik dit goeie actie om mensen te waarschuwen want voor hetzelfde geld, kunnen al die websites ook andere scriptjes bevatten zoals keylogger, net wat hijzelf zegt.
Hunt zegt dat hij in theorie ook andere dingen met de JavaScript had kunnen doen, zoals keyloggers of andere malware installeren.
kodak
@luwak1 april 2021 15:48
Als een eigenaar niets met de waarschuwing lijkt te doen dan is het de bedoeling dat je naar de registrar of uiteindelijk registry gaat, die vaak eisen dat je niet zomaar foute software blijft draaien.
Door vooraf maar te doen alsof iemand geen aandacht zal besteden en ook de normale weg van oplossgen bijvoorbaat al te gaan negeren dan heb je als weldoener kennelijk hele andere prioriteiten dan het op de gebruikelijke manier oplossen. En ik denk dat als Hunt kennelijk als een jaar dit maar laat bestaan en nu plotseling even makkelijk iets wil bereiken die prioriteiten niet echt liggen bij het oplossen of de gevraagde moeite doen maar zelf zo min mogelijk wenst te doen om iets gedaan te krijgen wat hij kennelijk nu wel wil laten oplossen. Ik denk niet dat dat redelijk is als je het echt zo'n probleem zou vinden.
i-chat
@kodak1 april 2021 16:08
Dit en eigenlijk al je reacties lijken eigenlijk enorm eenzijdig

Het lot van de arme websitebouwers

Ik vraag me af of dit in werkelijkheid niet eerder te maken heeft met zolderkamerwebsites

En nu zeg je doodleuk stuur eerst een mail en ga daarna hogerop

Dat is natuurlijk geweldig in het belang van de prestashop joomla bedrijven die hun chinese meuk resellen etc

Maar denk ook eens aan het belang van de huidige bezoekers kun je wel rechtvaardigen dat je willens en weten de bezoekers niet waarschuwde tegen mallware en kun je je dan wel verschuilen achter abuse@ mailtjes

Ik vind het twijfelachtig

Je hebt het dan over de schade die bedrijf x loopt doordat jij dit iets minder conventionele middel inzet maar kijk dan ook naar de schade die voorgaande klanten al hebben geleden krijgen die van jou ook netjes alle 20000 (over de afgelopen jaren) een mailtje en een brief thuis?

[Reactie gewijzigd door i-chat op 1 april 2021 16:12]

kodak
@i-chat1 april 2021 16:26
Ik stel daarmee niet dat ik het lot van de websitebouwers voorop stel, maar wel dat die een belang hebben dat je niet makkelijk opzij kan schuiven. Daar is niets eenzijdigs aan, dat is juist meerdere kanten bekijken om tot een gepaste oplossing te kunnen komen. En dat is met die contactgegevens ook zo ontstaan: die zijn er juist om rekening te houden dat er meer belangen zijn dan wat Hunt of een ander als belangen wil zien, zoals een jaar niets doen en dan die bouwers maar aan de schandpaal gaan nagelen zonder eerst de moeite te nemen ze te informeren over het probleem.
Je kan niet zomaar stellen dat wat jij of ik menen dat voor anderen van belang is maar het enige is wat telt, zeker niet als daar al lang wereldwijd afspraken over bestaan en die websitebouwers vaak zelfs in contracten voor getekend hebben hoe iets opgelost dient te kunnen worden.
Okerpaars
@kodak1 april 2021 14:04
Maar dat klinkt wel als verdomd veel werk om als een liefdadigheidsactie contact te leggen met de eigenaren van tienduizenden websites.

Ik vind het pop-up bericht netjes en niet onnodig paniekerig. Een prima oplossing voor website beheerders die al twee jaar nalatig zijn geweest. God weet wat voor andere XSS troep daar nog allemaal op draait.
kodak
@Okerpaars1 april 2021 15:06
Ik stel ook niet dat het weinig werk is, maar @YStec doet de bewering dat wat Hunt doet de enige manier zou zijn, wat duidelijk onjuist is en ook afwijkt van wat de bedoeling is en gewoonlijk is.
bzzzt
@kodak1 april 2021 14:01
Dit gaat om 10.000 sites. Als je ooit geprobeerd hebt om een fout op 1 website te melden weet je wat voor werk je er aan hebt om uberhaupt iemand te pakken te krijgen die a) begrijpt wat er aan de hand is en b) er ook daadwerkelijk wat aan gaat doen. Dat is gewoonweg niet te doen.
Wat mij betreft: blij dat hij het zo netjes oplost. Een andere partij had misschien doodleuk de miner scripts weer teruggeplaatst.
Emin3m
@dutchgio1 april 2021 13:25
Hunt zegt dat er nog steeds veel mensen op het domein komen; op het hoogtepunt waren dat er 3,63 miljoen per dag. Coinhive is al meer dan twee jaar niet meer bereikbaar.
supersnathan94
@dutchgio1 april 2021 13:56
Kijk eens even naar de website in het screenshot hierboven. Die website hoort dit helemaal niet te doen. Het is een enorm security risico dat deze websites dit überhaupt inladen. Content security policy is dan ook gewoon niet aanwezig en hashes worden niet gechecked (die is nu namelijk anders dus dan zou de code niet meer uitgevoerd worden door de browser).
PeterBennink
@dutchgio1 april 2021 13:36
Het legt niet per se de fout bij de gebruikers neer, het informeert de gebruikers over de fouten van de beheerder. Zeker na zo'n lange periode geeft dit duidelijk aan dat deze websites slecht worden onderhouden. Het is dan goed dat je hier als gebruiker over wordt geinformeerd. Daarnaast is zo'n javascript inclusion ook niet even makkelijk te gebruiken om enkel de beheerder te informeren, en er ook zeker van te zijn dat ze voldoende gemotiveerd zijn er iets aan te doen.
kodak
@PeterBennink1 april 2021 13:59
Als je problemen met beveiliging en beheer ziet dan ga je dat gewoonlijk eerst melden bij de website, in plaats van direct de gebruikers massaal te informeren. Je weet namelijk niet waardoor dat probleem nog bestaat, hooguit heb je er een mening over die je eerst beter kan controleren voor er anderen bij te betrekken die niet over de website gaan.
batjes
@kodak1 april 2021 16:22
Ik zou zeggen, neem contact op met Troy zodat je handmatig al die beheerders/eigenaren kan gaan informeren. Het zal je echt heel vies gaan tegenvallen hoeveel werk dat is :)
goats
@batjes2 april 2021 11:46
Zelfs als je legitiem een bug report bij een gewone bank site...
"De backend van je site crasht als ik een % gebruik als eerste letter van mijn password, gezien de connection reset die ik krijg. Dit werkt onafhankelijk of je wel of geen account hebt"

"onze ontwikkelaars zeggen dat je gewoon geen % moet gebruiken, ik kan voor u de password resetten"

Maar de meest irritante is wel vodafone, die na jaren bij vodafone gezeten te hebben opeens weigert je in te laten loggen, omdat de backend opeens vastloopt op de + in de local part van het e-mail adres wat je al 10 jaar bij vodafone gebruikt.
"De developers zeggen dat je maar een ander e-mail adres moet gaan regelen"

Wat is de oorzaak? Meestal zijn de developers te dom, en dan gebruiken ze maar 1 of andere library die niet onderhouden wordt en al jaren verschillende bugs bevat waardoor rfc compliant e-mail adressen geweerd worden.
Zo ook hier: je gebruikt gewoon een library van een ander omdat je niet goed weet hoe het werk. En dan neem je het eerste beste, en ga je niet kijken of de library ook correct is.
Als iemand een library heeft geschreven betekent niet dat die library correct is.
bzzzt
@PeterBennink1 april 2021 14:06
Dat heeft natuurlijk alles met de 'project managers mentaliteit' te maken die software nog steeds als een bouwwerk ziet wat - wanneer het werkt - af is. Dingen als onderhoud, recente veiligheidsstandaarden e.d. worden dan maar even vergeten want functionaliteit 'scoort' beter.
Ook zijn er zat ontwikkelaars die te pas en te onpas includes van vreemde domeinen toepassen (fontjes van google, scriptjes van Facebook, nog wat advertentiecode) waarbij eigenlijk helemaal niet stilgestaan wordt bij het feit dat je daarmee derde partijen toegang geeft tot je website via de browser van de gebruiker.
Tjidde
@dutchgio1 april 2021 14:42
Schept het een signaal dat een site niet goed onderhouden wordt?

Ik denk juist dat dit een definiete is van niet goed onderhouden. Als jij een of andere rare library gebruikt om te minen bij je gebruikers. Ben je al onethisch in mijn ogen. Die dan ook nog eens twee jaar laat staan. Dan ben je niet goed in het onderhouden van je website.

Als je het dan niet via de normale media voor elkaar krijgt. Dan is soms zo'n keuze verstandig/nodig.

Kan alleen niet vinden of coinhive.JS je CPU laat rennen ook al is het offline. Als mensen hem i.p.v. import coinhive.com/coinhive.js op hun server hebben gezet.
cascer1
@dutchgio1 april 2021 15:26
Ik denk dat het wel deels aan de gebruiker ligt. Als je je browser wat veiliger instelt worden dit soort dingen waarschijnlijk al automatisch geblokkeerd.
KodiKodi
1 april 2021 13:40
Heel goeie actie! Anders had iemand anders het domein later wel bemachtigd en malware geinjecteerd.
cascer1
1 april 2021 15:27
Ook een mooi voorbeeld van waarom een CSP belangrijk is op je website. Ik blijf het eng vinden dat het zo relatief makkelijk is om je code op duizenden sites te krijgen.
Mavamaarten
1 april 2021 15:42
Tgho, aan de ene kant vind ik het een goeie actie. Maar zijn we zeker dat al die sites doelbewust die miner op hun site hadden voor eigen gewin of kan het even goed zijn dat kwaadwillenden sites infecteren met dit om er aan te verdienen? Net daarom vind ik de waarschuwing een gevaarlijk idee.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee