加密货币 Monero 的 Twitter 与 Reddit 论坛上有网指出民,主流上下载及分软件公司 MEGA 推出的 Chrome 扩展程式 3.39.4 版已被入侵,并可以窃取其用户的 Monero (XMR) 及其他个人信息。官方半日发表回应,指有黑客把假的软件上载到他们的 Google Store 户口上,四小时内已把一个正常版本上载,事件中没有用户个人资料外泄。
MEGA 不但提供云端储存服务外,其扩展程式更可减少页面加载时间,从而提升浏览器性能。
Reddit 网民 gattacus 指他怀疑 MEGA Chrome 扩展程式出现问题是因为其程式需要更新,新权限是可以读取所有网站的数据。因此,令 gattacus 感到疑惑。因此,他检查程式代码 javascript。 而MEGA在 github 上亦有其程式代码,但最近都没有更新。因此,其网民推论是不是 Google 网上商店帐户被黑客入侵,就是 MEGA 内部有员工做。
MEGA 在事发后半日发表通告,指有黑客把一个木马版 (trojaned version)软件上载到他们的 Google Store 户口上,四小时内已把一个正常版本上载(3.39.5),事件中没有用户个人资料外泄。他们对是次失误感到抱歉,呼吁用户尽快更新一个清洁的版本。用户可以选择到官方网站上载。 MEGA 表示正彻查事件。
目前,Chrome 网上商店无法下载 MEGA Chrome 扩展程式,当按入该扩展程式的链结后会出现 404 错误(见上图)。
Monero 是种私人及无法被追踪的加密货币,其功能令不法份子用于非法活动。部份网页可能被装上“恶挖”,偷用电脑运算力挖 XMR。《币讯》亦曾报导云端科技公司 Citrix(思杰系统公司)调查发现,近六成受访公司的系统发现恶挖。