ATUALIZAÇÃO: A notícia parece ter causado uma reação rápida. O código foi removido pouco tempo depois da publicação de Felipe Hoffa e a repercussão do caso; como resultado, a página já não consome mais quantidades colossais de CPU.

A assessoria do governo de São Paulo informou ao Olhar Digital que a inserção do CoinHive no código do site foi “provavelmente” fruto de uma invasão, e não teria origem interna. A Secretaria de Comunicação do Estado enviou o seguinte comunicado sobre o acontecimento:

“O Portal Cidadão.SP segue operando normalmente. Em razão de uma falha pontual já superada, o código fonte da referida página foi atualizado. A medida não resultou em prejuízos à prestação de serviço população.”

NOTÍCIA ORIGINAL:

O Pirate Bay causou polêmica há algum tempo quando foi descoberto que o site usava o CoinHive, um sistema que usa o processador dos visitantes para minerar a criptomoeda Monero para o desenvolvedor. Engana-se, porém, que a prática só é vista em sites suspeitos: foi detectado que uma página do governo do Estado de São Paulo também faz uso desse sistema.

A descoberta foi feita pelo desenvolvedor chileno Felipe Hoffa, que trabalha para o Google. Ele encontrou o site Cidadão SP, que começa a minerar criptomoedas assim que o usuário acessa sua página principal.

Foi fácil comprovar que Hoffa está certo. Nos testes do Olhar Digital, ao entrar no site, o uso da CPU do computador automaticamente disparou, o que mostra que nem mesmo houve preocupação em colocar um limite de uso do processador do usuário. Como se isso não fosse suspeito o bastante, bastou entrar no código-fonte da página para encontrar informações sobre o CoinHive logo na segunda linha do código.

Reprodução

Os problemas nessa prática são vários. O primeiro deles é o fato de que o visitante da página não é consultado; em seguida vem o fato de que o computador do usuário que tem seu processador “sequestrado” vai invariavelmente ficar mais lento, podendo causar travamentos ou até mesmo superaquecimento dependendo da máquina e do tempo com a página aberta. Também é uma questão importante saber quem estava recebendo o dinheiro da mineração das moedas em um site público e definir se a página foi vítima de algum ataque externo, ou se isso é fruto de algum desenvolvedor mal-intencionado.