Coinhive, le service permettant aux sites web de se rémunérer en faisant miner des crypto-monnaies à leurs visiteurs, a été victime d’un incident de sécurité.
Un pirate est parvenu à s’introduire sur le compte Cloudflare de l’entreprise, dont le combo mot de passe/identifiant avait « probablement fuité » en 2014 suite à une brèche chez Kickstarter et n’avait pas été changé depuis.
Il a ainsi pu rediriger certaines requêtes vers un serveur tiers. Coinhive assure qu’aucune donnée n’a été volée, mais que la manœuvre a permis au pirate de détourner pour son compte les hashs calculés par les clients du service pendant près de 12 heures.
Moralité de l’histoire : ne réutilisez pas le même mot de passe partout, et un bon gestionnaire de mots de passe peut vous rendre la tâche plus aisée.