The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Сотрудник Wikimedia случайно запустил вредоносный JavaScript-червь, поразивший Meta-Wiki

06.03.2026 22:51 (MSK)

Организация Wikimedia Foundation была вынуждена временно отключить возможность редактирования и запретить выполнение персональных скриптов на Meta-Wiki, Wikipedia и сопутствующих Wiki-сайтах, из-за инцидента с безопасностью, который создал угрозу компрометации учётных записей администраторов проекта и привёл к массовой вредоносной модификации страниц и скриптов.

Инцидент произошёл из-за халатности одного из инженеров организации Wikimedia Foundation, входящего в группу, обеспечивающую безопасность. В процессе тестирования лимитов на работу с API из персональных скриптов (user script), инженер экспериментировал с загрузкой большого числа случайных скриптов, используя реальные скрипты пользователей. Тестирование при этом осуществлялось с привилегированной учётной записи, имеющей доступ к редактированию скрипта MediaWiki:Common.js и возможности загружать JavaScript-скрипты для всех пользователей и страниц.

Среди запускаемых персональных скриптов оказался созданный несколько лет назад вредоносный скрипт test.js, загруженный с ru.wikipedia.org и содержащий функциональность червя, добавляющего себя во все JavaScript-файлы "User:<username>/common.js" и "MediaWiki:Common.js", а также редактирующий или удаляющий случайные страницы с примечанием о закрытии проекта (для выбора страниц вызывалась команда Special:Random).

Запуск данного скрипа с привилегированной учётной записи привёл к размещению вредоносного кода в пользовательских JavaScript-скриптах на Meta-Wiki. Из-за запуска добавленного червя при открытии страниц Meta-Wiki другими пользователями и администраторами Wikimedia возникла цепная реакция и массовый вандализм - несколько тысяч страниц было изменено, а у примерно сотни пользователей были заменены персональные скрипты common.js.

Вредоносный скрипт был использован в 2023 году для атаки на русскоязычные wiki-сайты Wikireality и Cyclopedia. В 2024 году пользователь с ником Ololoshka562 разместил данный скрипт на своей странице в ru.wikipedia.org (ru.wikipedia.org/wiki/user:Ololoshka562/test.js) и спустя полтора года данный скрипт был загружен и запущен инженером Wikimedia, проводящим эксперимент.

В настоящее время состояние пострадавших страниц восстановлено и возвращена возможность внесения изменений. Утверждается, что режим только для чтения и запрет на выполнение пользовательских JavaScript-скриптов продлился около 2 часов. Представители Wikimedia заявили, что у них нет оснований полагать, что инцидент вызван целевой атакой и привёл к компрометации персональных данных.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Разработчики Xubuntu опубликовали отчёт о взломе сайта Xubuntu.org
  3. OpenNews: Взлом внутреннего GitLab-сервера Red Hat
  4. OpenNews: Взлом Internet Archive привёл к утечке 31 миллиона учётных записей
  5. OpenNews: SSH-бэкдор, установленный при взломе kernel.org, два года оставался незамеченным
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64932-wikimedia
Ключевые слова: wikimedia, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:22, 06/03/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > ... одного из инженеров ... входящего в группу, обеспечивающую безопасность. ... инженер экспериментировал ... используя реальные скрипты пользователей. Тестирование при этом осуществлялось с привилегированной учётной записи

    Ммм... Что он пытался получить при этом?

     
     
  • 2.2, Аноним (2), 23:28, 06/03/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >Ммм... Что он пытался получить при этом?

    сломать все, в целом пришел к успеху

     
  • 2.5, Kopleres (?), 00:16, 07/03/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Они сами говорят, что проводили «security review»: https://meta.wikimedia.org/wiki/Wikimedia_Foundation/Product_and_Technology/Pr скорее всего, собирались ввести некие ограничения на личный JS участников и проверялось, не заденет ли это добросовестных пользователей.
     

  • 1.3, q (ok), 23:37, 06/03/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    > инженер экспериментировал с загрузкой большого числа случайных скриптов, используя реальные скрипты пользователей

    почему он экспериментировал на проде? что за тупость? забанить нахрен его, а еще желательнее -- вывесить где-нибудь его имя, чтоб потенциальные работодатели могли нагуглить его подвиг по имени.

     
     
  • 2.18, freehck (ok), 01:53, 07/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > забанить нахрен его

    да ладно тебе, нет в мире опса, который прод не клал хотя бы раз в жизни )

     

  • 1.4, Аноним (4), 23:51, 06/03/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Инженер ... входящий в группу, обеспечивающую безопасность запустил вредноносный скрин на проде?

    Думаю его нужно уволить.
    А еще лучше того, кто взял такого уникума на работу.

     

  • 1.6, Аноним (6), 00:20, 07/03/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Переписали историю в очередной раз и со стыда списали на ошибку технаря.
     
     
  • 2.7, Аноним (7), 00:23, 07/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    А про что речь, расскажите ?
     
     
  • 3.8, Аноним (6), 00:37, 07/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Про якобы детскую ошибку.
     
  • 3.9, нах.. (?), 00:42, 07/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Да масоны опять дурят простой народ. Понимать надо.
     
  • 2.12, Джон Титор (ok), 01:14, 07/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Среди запускаемых персональных скриптов оказался созданный несколько лет назад вредоносный скрипт test.js, загруженный с ru.wikipedia.org и содержащий функциональность червя

    Им всё русские покоя не дают. Не знают уже что и придумать. Вы знаете, не удивлюсь если этот технарь ещё окажется из России или хотя-бы русскоязычный. Их эти глупые истории звучат как бред, ну или на гране бреда.
    Они то переписали историю, теперь этот бред с умным видом всем ИИ рассказывает. Ещё дополнительные какие-то факты откуда-то берет. А потом такое впечатление что что-то бумкнуло в датацентре у этого ИИ.

     
  • 2.13, Аноним (13), 01:18, 07/03/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Речь идёт про Мета-вики, там нет энциклопедических статей, это вспомогательный ресурс.

    Доступа к другим проектам червь получить не смог из-за разделения кук.

     
     
  • 3.16, Джон Титор (ok), 01:43, 07/03/2026 Скрыто ботом-модератором     [к модератору]
    		• +1 +/
     

  • 1.10, Аноним (10), 00:49, 07/03/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Безопасник, как они есть. Апплодисменты.
     

  • 1.11, Аноним (11), 01:01, 07/03/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +/
     
  • 1.15, Аноним (15), 01:34, 07/03/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    От всей это истории пахнет, и попахивает.
    Один только ник пользователя, уже о многом говорит.

    риторический вопрос - а они что, никогда за эти года свои ресурсы антивирусом не проверяли?

     
  • 1.19, Аноним (19), 03:39, 07/03/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >Тестирование при этом осуществлялось с привилегированной учётной записи, имеющей доступ к

    То есть чувак сидел из под рута и запускал не пойми что от пользователей. Это пять!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру