Сотрудник Wikimedia случайно запустил вредоносный JavaScript-червь, поразивший Meta-Wiki

06.03.2026 22:51 (MSK)

Организация Wikimedia Foundation была вынуждена временно отключить возможность редактирования и запретить выполнение персональных скриптов на Meta-Wiki, Wikipedia и сопутствующих Wiki-сайтах, из-за инцидента с безопасностью, который создал угрозу компрометации учётных записей администраторов проекта и привёл к массовой вредоносной модификации страниц и скриптов.

Инцидент произошёл из-за халатности одного из инженеров организации Wikimedia Foundation, входящего в группу, обеспечивающую безопасность. В процессе тестирования лимитов на работу с API из персональных скриптов (user script), инженер экспериментировал с загрузкой большого числа случайных скриптов, используя реальные скрипты пользователей. Тестирование при этом осуществлялось с привилегированной учётной записи, имеющей доступ к редактированию скрипта MediaWiki:Common.js и возможности загружать JavaScript-скрипты для всех пользователей и страниц.

Среди запускаемых персональных скриптов оказался созданный несколько лет назад вредоносный скрипт test.js, загруженный с ru.wikipedia.org и содержащий функциональность червя, добавляющего себя во все JavaScript-файлы "User:<username>/common.js" и "MediaWiki:Common.js", а также редактирующий или удаляющий случайные страницы с примечанием о закрытии проекта (для выбора страниц вызывалась команда Special:Random).

Запуск данного скрипа с привилегированной учётной записи привёл к размещению вредоносного кода в пользовательских JavaScript-скриптах на Meta-Wiki. Из-за запуска добавленного червя при открытии страниц Meta-Wiki другими пользователями и администраторами Wikimedia возникла цепная реакция и массовый вандализм - несколько тысяч страниц было изменено, а у примерно сотни пользователей были заменены персональные скрипты common.js.

Вредоносный скрипт был использован в 2023 году для атаки на русскоязычные wiki-сайты Wikireality и Cyclopedia. В 2024 году пользователь с ником Ololoshka562 разместил данный скрипт на своей странице в ru.wikipedia.org (ru.wikipedia.org/wiki/user:Ololoshka562/test.js) и спустя полтора года данный скрипт был загружен и запущен инженером Wikimedia, проводящим эксперимент.

В настоящее время состояние пострадавших страниц восстановлено и возвращена возможность внесения изменений. Утверждается, что режим только для чтения и запрет на выполнение пользовательских JavaScript-скриптов продлился около 2 часов. Представители Wikimedia заявили, что у них нет оснований полагать, что инцидент вызван целевой атакой и привёл к компрометации персональных данных.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64932-wikimedia

Ключевые слова: wikimedia, hack

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (36)

1.1, Аноним (1), 23:22, 06/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
> ... одного из инженеров ... входящего в группу, обеспечивающую безопасность. ... инженер экспериментировал ... используя реальные скрипты пользователей. Тестирование при этом осуществлялось с привилегированной учётной записи Ммм... Что он пытался получить при этом?

2.2, Аноним (2), 23:28, 06/03/2026 [^] [^^] [^^^] [ответить]	+5 +/–
>Ммм... Что он пытался получить при этом? сломать все, в целом пришел к успеху

2.5, Kopleres (?), 00:16, 07/03/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Они сами говорят, что проводили «security review»: https://meta.wikimedia.org/wiki/Wikimedia_Foundation/Product_and_Technology/Pr скорее всего, собирались ввести некие ограничения на личный JS участников и проверялось, не заденет ли это добросовестных пользователей.

3.24, Аноним (24), 09:30, 07/03/2026 [^] [^^] [^^^] [ответить]	+1 +/–
> проводили «security review» запуская под рутом "рм -фр /"?

2.28, Аноним (-), 09:37, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
> Ммм... Что он пытался получить при этом? На ЧАЭС потестировали - улучшение безопасности АЭС при нештатных ситуациях. Заодно и нештатную ситуацию по максимуму протестировали, чтоб два раза не вставать...

2.36, этот мерзкий анонимус (?), 11:30, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
Хотел получить выборку реальных юзерских js, но в голову ударило несвежее карри и наш мэн - Абдармапудра Чихсвани (Н2В, притащен в штаты своим корешем Абдарлахудрой Ганешбрахманом) - забыл, что юзерские скрипты по-умолчанию являются вредоносными, пока не доказано обратное.

1.3, q (ok), 23:37, 06/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> инженер экспериментировал с загрузкой большого числа случайных скриптов, используя реальные скрипты пользователей почему он экспериментировал на проде? что за тупость? забанить нахрен его, а еще желательнее -- вывесить где-нибудь его имя, чтоб потенциальные работодатели могли нагуглить его подвиг по имени.

2.18, freehck (ok), 01:53, 07/03/2026 [^] [^^] [^^^] [ответить]	+3 +/–
> забанить нахрен его да ладно тебе, нет в мире опса, который прод не клал хотя бы раз в жизни )

2.22, Аноним (22), 09:10, 07/03/2026 [^] [^^] [^^^] [ответить]	–1 +/–
> вывесить где-нибудь его имя, чтоб потенциальные работодатели могли нагуглить его подвиг по имени. Твои ФИО где? Что тебе скрывать?

3.25, Аноним (24), 09:31, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
Он не ломал вики. Не он ломал...

1.4, Аноним (4), 23:51, 06/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Инженер ... входящий в группу, обеспечивающую безопасность запустил вредноносный скрин на проде? Думаю его нужно уволить. А еще лучше того, кто взял такого уникума на работу.

2.14, Джон Титор (ok), 01:24, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
>> Думаю его нужно уволить. >> А еще лучше того, кто взял такого уникума на работу. И чем это поможет? У других запустят вирус? Добавьте пожалуйста аргументов что именно это решение решит проблему.

1.6, Аноним (6), 00:20, 07/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Переписали историю в очередной раз и со стыда списали на ошибку технаря.

2.7, Аноним (7), 00:23, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
А про что речь, расскажите ?

3.8, Аноним (6), 00:37, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
Про якобы детскую ошибку.

3.9, нах.. (?), 00:42, 07/03/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Да масоны опять дурят простой народ. Понимать надо.

3.26, Аноним (24), 09:33, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
Это кошка Мурка съела варенье! (с)

2.12, Джон Титор (ok), 01:14, 07/03/2026 [^] [^^] [^^^] [ответить]	–3 +/–
>> Среди запускаемых персональных скриптов оказался созданный несколько лет назад вредоносный скрипт test.js, загруженный с ru.wikipedia.org и содержащий функциональность червя Им всё русские покоя не дают. Не знают уже что и придумать. Вы знаете, не удивлюсь если этот технарь ещё окажется из России или хотя-бы русскоязычный. Их эти глупые истории звучат как бред, ну или на гране бреда. Они то переписали историю, теперь этот бред с умным видом всем ИИ рассказывает. Ещё дополнительные какие-то факты откуда-то берет. А потом такое впечатление что что-то бумкнуло в датацентре у этого ИИ.

2.13, Аноним (13), 01:18, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
Речь идёт про Мета-вики, там нет энциклопедических статей, это вспомогательный ресурс. Доступа к другим проектам червь получить не смог из-за разделения кук.

3.16, Джон Титор (ok), 01:43, 07/03/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Речь идет о том как белому негру сидеть на заднем сиденье и не задевать наглосаксонских господ. Скажем так это дух статьи, а по сути вроде бы как всё по причине рукожопости процессов и рукожопости инженера безопасности. Только много деталей которые в очередной раз говорит плохо о людях которые не говорят по английски, хоть и не прямо. Это так по английски. Вы знаете в последнее время у них и на собеседованиях существенно выросли требования к английскому языку. Не говоришь на общеимперском свободно - в пролете. А новость из рубрики желтой прессы - сами взломали, сами написали. Для чего? Вот нас готовят как-бы к последующему "логическому" решению. Кого-то уволить говорящего на русском или запретить Мета-вики и вообще обговаривать какие-нибудь правила тем кто говорит на русском, ну или ещё чего в этом роде... Их вот эти фашинктонгские выбрыки уже так достали. Если понятно что это хакер, зачем давать такие детали именно сейчас? Кому это нужно?

4.40, Аноним (40), 11:49, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
Ну и шизофазия. Вам бы проспаться не мешало.

1.10, Аноним (10), 00:49, 07/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Безопасник, как они есть. Апплодисменты.

2.17, Джон Титор (ok), 01:47, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
Ну может он надеялся так поймать хакера. Безопасника обидеть может каждый... если он такой

1.15, Аноним (15), 01:34, 07/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
От всей это истории пахнет, и попахивает. Один только ник пользователя, уже о многом говорит. риторический вопрос - а они что, никогда за эти года свои ресурсы антивирусом не проверяли?

1.19, Аноним (19), 03:39, 07/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
>Тестирование при этом осуществлялось с привилегированной учётной записи, имеющей доступ к То есть чувак сидел из под рута и запускал не пойми что от пользователей. Это пять!

2.21, Аноним (21), 07:05, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
Это то, как ты понимаешь это со своего линукс-десктопа.

1.23, Аноним (23), 09:16, 07/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Напоминаю, что эти неадекваты на википедию вредоносный скрипт reCAPTCHA сами повесили, что теперь ни один человек редактировать википедию не может.

2.27, Аноним (27), 09:34, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
Эм? Гугловская капча на трети сайтов в инете висит как бы и с лёгкостью проходится, если ты не робот или с отрицательным IQ

3.33, anonymous (??), 10:34, 07/03/2026 [^] [^^] [^^^] [ответить]

–1 +/–

я не робот, но отключил фингерпринтинг. Нифига не проходится гуглокапча.

Гугол к тому же использует механику казино - он не пишет, сколько надо решить задачек, он просто подкидывает новую задачу после старой и ты продолжаешь решать, чтобы не сбросить прогресс. Чисто лутбоксы.

За распространение лудомании гугол надо банить нафиг.

4.37, этот мерзкий анонимус (?), 11:34, 07/03/2026 Скрыто ботом-модератором [к модератору]	+/–

2.31, Аноним (-), 10:01, 07/03/2026 [^] [^^] [^^^] [ответить]

+/–

> Напоминаю, что эти неадекваты на википедию вредоносный скрипт reCAPTCHA сами повесили,
> что теперь ни один человек редактировать википедию не может.

Да они и еще раньше крузаду по бану прокси и чего там еще объявили. Теперь вику редактировать вообще такой отдельный гемор.

А за non-free software в виде гуглокапчи - отдельный факофф.

1.29, Аноним (24), 09:38, 07/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Больше похоже на тренировку, чтобы потом сказать: "Это не мы снесли сегмент, это кошка Мурка!"

2.35, этот мерзкий анонимус (?), 11:27, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
Раньше я смеялся с белочек-истеричек и ловцов жирорептилоидов с их упоротыми теориями - сейчас уже не смешно.

1.38, Karl (ok), 11:44, 07/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Для начала следовало бы уволить отдел кадров. Или как там по-модному - HR?

2.39, этот мерзкий анонимус (?), 11:46, 07/03/2026 [^] [^^] [^^^] [ответить]	+/–
Индус индусу в карри не плюнет. Особенно, если надо закрывать дивёрсити-квоты

1.41, Аноним (41), 12:03, 07/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Среди запускаемых персональных скриптов оказался созданный несколько лет назад вредоносный скрипт test.js, загруженный с ru.wikipedia.org Русские в очередной раз гадят.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: