ATUALIZAÇÃO: A notícia parece ter causado uma reação rápida. O código foi removido pouco tempo depois da publicação de Felipe Hoffa e a repercussão do caso; como resultado, a página já não consome mais quantidades colossais de CPU.
A assessoria do governo de São Paulo informou ao Olhar Digital que a inserção do CoinHive no código do site foi “provavelmente” fruto de uma invasão, e não teria origem interna. A Secretaria de Comunicação do Estado enviou o seguinte comunicado sobre o acontecimento:
“O Portal Cidadão.SP segue operando normalmente. Em razão de uma falha pontual já superada, o código fonte da referida página foi atualizado. A medida não resultou em prejuízos à prestação de serviço população.”
NOTÍCIA ORIGINAL:
O Pirate Bay causou polêmica há algum tempo quando foi descoberto que o site usava o CoinHive, um sistema que usa o processador dos visitantes para minerar a criptomoeda Monero para o desenvolvedor. Engana-se, porém, que a prática só é vista em sites suspeitos: foi detectado que uma página do governo do Estado de São Paulo também faz uso desse sistema.
A descoberta foi feita pelo desenvolvedor chileno Felipe Hoffa, que trabalha para o Google. Ele encontrou o site Cidadão SP, que começa a minerar criptomoedas assim que o usuário acessa sua página principal.
So this Brazilian government website eats all my CPU to mine cryptocurrency when I land on their homepage… ouch (thx @rick_viscomi @HTTPArchive #BigQuery #bitcoin) pic.twitter.com/5UDbNlzxIw
— Felipe Hoffa (@felipehoffa) 9 de novembro de 2017
Foi fácil comprovar que Hoffa está certo. Nos testes do Olhar Digital, ao entrar no site, o uso da CPU do computador automaticamente disparou, o que mostra que nem mesmo houve preocupação em colocar um limite de uso do processador do usuário. Como se isso não fosse suspeito o bastante, bastou entrar no código-fonte da página para encontrar informações sobre o CoinHive logo na segunda linha do código.
Os problemas nessa prática são vários. O primeiro deles é o fato de que o visitante da página não é consultado; em seguida vem o fato de que o computador do usuário que tem seu processador “sequestrado” vai invariavelmente ficar mais lento, podendo causar travamentos ou até mesmo superaquecimento dependendo da máquina e do tempo com a página aberta. Também é uma questão importante saber quem estava recebendo o dinheiro da mineração das moedas em um site público e definir se a página foi vítima de algum ataque externo, ou se isso é fruto de algum desenvolvedor mal-intencionado.