Sikkerhetsforskeren Scott Helme meldte på søndag at minst 4000 nettsteder, mange av dem tilhørende offentlige virksomhet i land som USA, Storbritannia, Sverige og Norge, bruker et JavaScript-bibliotek som var blitt kompromittert av hackere. Resultatet av dette har vært at mange av dem som har besøkt disse nettstedene, har bidratt til utvinning av kryptovaluta, som har blitt utbetalt til en konto som tilhører hackerne.
Dette har vært mulig fordi mange av nettstedene ikke laster JavaScript-biblioteket fra deres egne servere, men fra serverne til leverandøren, Texthelp. Biblioteket tilbyr en tjeneste som heter Browsealoud. På enkelte norske nettsteder kalles dette for «Talende web». Tjenesten skal gjøre det enklere for brukerne å få lest opp det som står på siden.
Oppdaget det selv
Ifølge Texthelp, som har bekreftet hendelsen, skal den aktuelle JavaScript-filen ha blitt kompromittert midt på dagen i går, søndag. Senere samme dag skal selskapet ha tatt ned hele Browsealoud-tjenesten. Det oppgir at det kompromitterte skriptet skal ha ligget ute i omtrent fire timer.
_logo.svg.png){kind=logo}
Selskapets egne, automatiserte sikkerhetstester skal ha oppdaget de modifiserte filene på egen hånd.
Texthelp opplyser at selskapets er sikre på at kompromitteringen ikke har ført til at brukerdata har gått tapt eller blitt aksessert. Selskapet har likevel valgt å vente med å gjenopprette tjenesten til tirsdag klokken 13 norsk tid. Dette for å gi kundene tid til å sette seg inn i hendelsen.
Selskapet opplyser at det vil engasjere et uavhengig sikkerhetsselskap til å gjennomføre en etterforskning av innbruddet.
Mye besøkte nettsteder
Blant de største nettstedene som bruker JavaScript-filen som ble kompromittert, finner man City University of New York, United States Courts, delstaten Indiana, Lunds Universitet i Sverige og den svenske Polisen. En søk er tilgjengelig her. Dette viser at 13 nettsteder med .no-domene har vært berørt, men nesten alle er anonymiserte i gratisutgaven av søketjenesten. Men det er i alle fall klart at nettstedet til Stavanger kommune tilbyr den aktuelle tjenesten.
Antallet tyder likevel på at Browsealoud-tjenesten ikke er mye brukt i Norge, sammenlignet med for eksempel Sverige, hvor antallet er på mer enn 500.
Nå fikk nok ikke gruppen bak dette innbruddet særlig stort utbytte denne gang, da innbruddet raskt ble oppdaget. Men det er liten tvil om at det er langt mer effektivt å bryte seg inn hos leverandører av webinnhold som brukes på tvers av mange nettsteder, framfor å gjøre innbrudd på hvert enkelt av disse nettstedene.
For nettstedene og deres brukere er det både fordeler og ulemper med en slik tilnærming. Det at angrepet kan rettes mot ett sted og berøre veldig mange, er selvfølgelig en stor ulempe.
Til gjengjeld så viser eksempelet over at når feilen først skjer, kan den korrigeres hos alle nettstedene på en gang, uten at hvert av nettstedene må oppdatere JavaScript-filene på egne servere.
Les også: Millioner utvinner kryptovaluta uten å vite om det
