Популярный VPN-плагин для Chrome и Android под названием Hola, которым пользуется более 50 млн человек по всему миру, был скомпрометирован. Целью атаки являются пользователи MyEtherWallet — одного из крупнейших горячих онлайн-кошельков для держателей эфира. Атака длилась примерно пять часов и за это время Hola собирал информацию о кошельках пользователей MEW с целью последующей кражи криптовалюты.
В единственной рекомендации, поступившей от администрации кошелька, советуется завести новый кошелек MEW и перевести туда свои средства в случае, если вы являетесь пользователем Hola и совершали действия в MyEtherWallet в последние 24 часа.
Это уже вторая атака на пользователей MyEtherWallet за последние четыре месяца. Этой весной хакерам удалось взломать DNS-сервер, который использовался MyEtherWallet, что позволило перенаправлять пользователей на фишинговый сайт с питерским IP-адресом. Тогда было украдено не менее 215 ETH. Считается, что за обеими этими атаками стоят одни и те же люди.
Стоит отметить, что VPN-плагин Hola ранее был скомпрометирован еще в 2015 году. Тогда пользователи Hola были вовлечены в проведение массированных DDoS-атак.
Основная причина привлекательности Hola для злоумышленников — это популярность плагина вкупе с использованием одноранговой архитектуры peer-to-peer для установления соединения. Также играет роль и крайне небрежная разработка, которая привела к наличию целого ряда уязвимостей и лазеек для злоумышленников. Кроме этого администрация Hola была замечена в крайне небрежном отношении в случае предоставления платного доступа к сети. В 2015 году разработчики заявляли, что «устранили уязвимость за несколько часов после репорта», однако группа исследователей, которая и указала на проблему, была с этим категорически несогласна:
Они говорят, что устранили уязвимость за несколько часов, но мы знаем, что это ложь. Разработчики просто сломали наш метод проверки, а сами сообщили, что уязвимость устранена. Кроме это, дыр было не две, как они сообщают, а шесть.
В конфликте 2015 года фигурировала не просто кража персональных данных через плагин. Тогда разработчиков обвиняли в преступной халатности, продаже доступа к сети сомнительным лицам и даже в предоставлении возможности исполнять код на стороне пользователя без его ведома.
В отличие от пользователей Tor, которые чаще всего осознают, что они делают и какие доступы предоставляют, работающий «из коробки» плагин обрел популярность среди рядовых пользователей, которые могут даже не до конца понимать, как работает эта «волшебная кнопка» в Chrome — для них важен лишь конечный эффект в виде доступности заблокированных ресурсов и условной анонимности.
Автор: Whalesburg