Wikimédia Alapítvány/Fiókok kompromittálódásának felfedezése, 2025. március

This page is a translated version of the page Wikimedia Foundation/March 2025 discovery of account compromises and the translation is 100% complete.

A Wikimédia Alapítvány (WMF) önkéntes tisztségviselőkkel együttműködve a közelmúltban a regisztrált fiókok szokatlan bejelentkezési mintáját azonosította. A vizsgálatot követően a tisztségviselők és a WMF munkatársai globálisan zároltak 35 893 fiókot, aminek következtében ezek a felhasználók kijelentkeztetésre kerültek, és nem tudnak többé bejelentkezni. Ha a te fiókod is érintett és kapcsoltál hozzá e-mail-címet, akkor már kapnod kellet egy e-mailt a privacy@wikimedia.org címről, amely a követendő lépéseket tartalmazza.

Mindazok alapján, amit a biztonsági és mérnöki csapataink találtak, úgy véljük, hogy ez a jogosulatlan tevékenység valószínűleg a felhasználói jelszavak kompromittálódásának eredménye, mivel a felhasználók egy kompromittált weboldalon használták újra a jelszavukat, vagy egy kompromittált eszközről jelentkeztek be a Wikimédia-projektekbe. Ez lehetővé teszi a „credential stuffing” néven ismert gyakori támadási formát, amikor rosszindulatú szereplők lopott vagy kiszivárgott felhasználóneveket és jelszavakat találnak, és megpróbálnak ugyanazokat a kombinációkat felhasználva belépni más weboldalakon is, ahol ugyanazt a felhasználónevet vagy e-mail-címet használják egy fiókhoz. Az érintett fiókok adatai (így például a kapcsolt e-mail-cím, időzóna és egyéb profilbeállítások) a fiók zárolása előtt a támadó számára hozzáférhetőek voltak.

Jelenleg nincs okunk azt feltételezni, hogy a Wikimédia rendszere volt az adatszivárgás és a kompromittálódás forrása, és nincs bizonyítékunk arra sem, hogy a támadás célpontja egy adott felhasználó vagy felhasználói csoport, illetve egy adott közösség lett volna. Többnyire inaktív vagy alacsony aktivitású fiókokról volt szó — az érintett felhasználói fiókok mindössze 2%-a végzett 100 vagy több szerkesztést. Még vizsgáljuk, de nem láttunk bizonyítékot arra, hogy bármelyik sérült fiókból jelentős rosszindulatú szerkesztői tevékenységet végeztek volna, így jelenleg nem hisszük, hogy a Wikimédia tartalmának integritása sérült volna.

Következő lépések a Wikimédia-felhasználók számára

Először is arra biztatjuk azokat a felhasználókat, akiket az incidens közvetlenül érintett, hogy azonnal változtassák meg jelszavukat minden olyan online fiókjuknál, ahol ugyanezt a jelszót használták. Általánosabban véve pedig minden felhasználót arra biztatunk, hogy minden olyan weboldalon, ahol fiókkal rendelkezik, használjon egyedi jelszót, amiben a széles körben elérhető jelszókezelők segíthetnek.

A Wikimédia-fiókokhoz nem szükséges e-mail-címet társítani, de csak nagyon korlátozottan tudunk segíteni a hozzáférés helyreállításában olyan kompromittálódott fiókokhoz, amelyek nem rendelkeznek e-mail-címmel. Általánosságban javasoljuk, hogy legyen egy megerősített e-mail-cím kapcsolva a Wikimédia-fiókodhoz. A Wikimédia-fiókod jelszavával kapcsolatos követelményekről és helyes gyakorlatokról bővebben a jelszószabályzatban olvashatsz.

Köszönjük az önkéntes tisztségviselőknek, akik segítettek az incidensre adott gyors reagálásban. Az Alapítványnál további biztonsági védelmet vezetünk be a Wikimédia-fiókok számára, ami része azon folyamatos munkánknak, hogy megelőzzük és felismerjük az ehhez hasonló incidenseket a jövőben. Ha ezen incidenssel kapcsolatos megbeszéléseket látsz valahol, arra kérünk, hogy irányítsd az embereket erre a Meta-lapra, kérdéseiket pedig a vitalapra.

Hamarosan többet is megosztunk veletek erről. Köszönjük!

Frissítések

(21:17, 28 March 2025 (UTC)) A fenti bejegyzés fogalmazását frissítettük, hogy az a támadáshoz hozzájáruló kompromittált eszközök lehetőségére is utaljon, ne csak a kompromittált weboldalakra. Mivel a fióktevékenységek felülvizsgálata folyamatban van, azt is minősítettük, hogy „bármilyen” helyett „nem jelentős” jeleit láttuk a rosszindulatú szerkesztéseknek. A felülvizsgált változtatások az oldal laptörténetében olvashatók (link).