Рано утром 11 февраля 2018 года, пока сисадмины дремали под конец ночной смены, неизвестная команда хакеров взломала код плагина «Browsealoud». Они дописали туда малоизвестный майнер криптовалют и ушли, аккуратно заметя следя. Лишь к полудню того дня команда, ответственная за поддержку Browsealoud, сориентировалась в ситуации после шквала звонков и отключила плагин для последующей чистки. Но было уже поздно.
Особенностью этой короткой, но действенной атаки стало то, что плагин Browsealoud предназначается для обеспечения доступа к информации для слепых и слабовидящих людей. А эксплуатируется он преимущественно там, где власти США обязаны гарантировать такой доступ своим гражданам – на сайтах национальных ведомств. Всего было затронуто около 4200 различных страничек, что бросило тень на всю американскую государственную машину.
Хакеры ничего не украли, не подселили вредоносные вирусы, никак не навредили конечным пользователям. Просто люди заходили на сайты, которые считали априори защищенными от всего и которые им жизненно нужны в профессиональной и личной деятельности, а на их компьютерах запускался скрипт майнера. Сколько хакеры успели «заработать» таким образом неизвестно, но беспокойство вызывает вовсе не это.
У Интернета вскрылась новая ахиллесова пята – плагины вроде Browsealoud использует множество сайтов, администраторы которых по умолчанию доверяют их разработчикам и не перестраховываются. А те не в силах реагировать на все угрозы в мире и если хакеры вновь незаметно взломают пару плагинов или драйверов, то смогут в одночасье атаковать миллионы сайтов. Как показал майнинг на якобы сверхзащищенных государственных порталах США, сделать это куда проще, чем кажется.