Duizenden overheidssites draaiden door populaire plug-in een cryptominer

Duizenden websites wereldwijd zijn in het geheim gebruikt om cryptocurrencies te minen. Het gaat om veel sites verbonden aan overheden, waaronder in het Verenigd Koninkrijk en de Verenigde Staten. De sites maakten allemaal gebruik van de populaire plug-in Browsealoud, die erop gericht is om blinden of slechtzienden te helpen met het surfen op het web.

Dat meldt de site The Register vandaag. Hackers zouden de broncode van Browsealoud veranderd hebben en daar de Coinhive Monero miner in geplaatst hebben. Daardoor werd er gedurende enkele uren door iedereen die een site met Browsealoud erop bezocht gemined. Er zijn meer dan 4.200 websites getroffen, vooral .edu, .gov, .co.uk-sites.

Geen gevaar voor computers

De malware werd gespot door de Britse IT-conslutant Scott Helme. Volgens hem werd de Monero-miner ergens in de nacht aan de code van Browsealoud toegevoegd. De meeste antivirusscanners en adblockers zorgden er alsnog voor dat de code niet kon worden uitgevoerd. Mocht dat toch gebeurd zijn, dan is er nog steeds niet veel aan de hand: de miner stopt met werken zodra een tabblad gesloten wordt.

Volgens Helme was er een eenvoudige manier om dit te voorkomen: “Derde partijen zijn absoluut een belangrijk doelwit en zijn dat al enige tijd. Er is een technologie die SRI (Sub-Resoure Integrity) heet en ontworpen is om precies dit probleem op te lossen. Maar helaas lijkt het erop dat geen van de besmette sites daar gebruik van maakte.” SRI controleert of er code is toegevoegd aan een dienst van een derde partij en indien dit het geval blijkt te zijn, wordt die niet doorgezet naar de site.

Gevaar van integratie

Dat dit kon gebeuren laat het gevaar zien van de integratie van verschillende sites en diensten. Zo’n beetje elke website maakt gebruik van diensten van andere bedrijven. Als een van die plug-ins besmet wordt met malware, kan dat meteen grote gevolgen hebben en is de kans dat malware snel verspreid wordt veel groter. Dat sites hun beveiliging nog niet op orde hebben, blijkt uit het feit dat een techniek als SRI niet breed wordt gebruikt.

Texthelp, het bedrijf achter Browsealoud, stelt overigens dat het probleem ondertussen opgelost is. De dienst was tijdelijk niet bereikbaar maar draait ondertussen weer gewoon. Alle besmette sites zijn nu weer veilig om te gebruiken. Daarnaast is er “geen toegang geweest tot consumentengegevens en is er ook geen data verloren gegaan.”