英国や米国の政府機関を含む4千以上のWebサイトで、仮想通貨採掘スクリプトが埋め込まれる問題が11日に発生したそうだ（Texthelpのブログ、発見者Scott Helme氏のブログ、Register、The Guardianの記事1、記事2）。

原因は英Texthelpがサイバー攻撃を受け、Webページの読み上げ機能などを提供する「Browsealoud」のJavaScriptファイル（ba.js）が改変されたことだ。そのため、Browsealoudを使用するWebサイトが軒並み被害にあう結果となった。改変により追加されたコードはCoinhiveの仮想通貨採掘スクリプトを実行するものだったようだ。

TexthelpではBrowsealoudをオフラインにして問題を修正したが、日本時間13日21時までサービスは再開しないと述べている。なお、攻撃者が顧客データにアクセスした形跡はなく、Browsealoud以外の製品への影響もないとのこと。

ba.jsを使用していたドメインはPublicWWWで確認できる。Browsealoudは日本語の読み上げにも対応しているが、.jpドメインはリストに含まれていなかった。セキュリティリサーチャーで発見者のScott Helme氏はWeb管理者に対し、改変された外部スクリプトの読み込みを防ぐため、SRI（Subresource Integrity）の使用を推奨している。