Фонд Викимедиа/Взлом аккаунтов в марте 2025 года
Фонд Викимедиа совместно с волонтёрами-функционерами обнаружил, что во множество зарегистрированных учётных записей логинятся нетипичным образом, по единому шаблону. Было проведено расследование, после которого работники Фонда и волонтёры глобально заблокировали 35 893 учётные записи, что принудительно вылогинило их и запретило повторный вход в систему. Если ваш аккаунт затронут такой блокировкой и к нему привязан адрес электронной почты, вам должно было прийти письмо с адреса privacy@wikimedia.org, в котором находятся рекомендации по дальнейшим действиям.
Принимая во внимание находки инженерной команды и команды кибербезопасности, мы считаем, что это неавторизованная активность, которая, скорее всего, является результатом утечки паролей через третий сайт, не имеющий отношения к проектам Фонда. Участники, использовавшие этот же пароль на нескольких сайтах, оказались уязвимы к атаке, известной как credential stuffing. Это, к сожалению, довольно популярный способ взлома, при котором злоумышленники находят базы паролей и логинов, и пытаются использовать их сочетания на других сайтах. Информация, ассоциированная с взламываемой учётной записью (адрес электронной почты, часовой пояс и настройки профиля), была доступна злоумышленникам с момента взлома и до момента наложения блокировки.
В данный момент у нас нет причин предполагать, что источником утечки были системы Фонда. Также у нас нет доказательств, позволяющих рассматривать теорию, что атака концентрировалась на конкретной группе пользователей или конкретном сообществе. Большинство затронутых учётных записей имели низкую активность или были неактивны; лишь 2 % из них имели 100 правок или больше. Кроме того, мы не видели злонамеренной активности с взломанных учётных записей, поэтому у нас нет причин предполагать, что взлом повлиял на данные в проектах Фонда.
Рекомендации пользователям вики-сайтов Фонда
Прежде всего мы просим пользователей, затронутых этим инцидентом, немедленно сменить пароли на всех сайтах, где они использовали тот же пароль, что и здесь. Говоря в общем, мы настоятельно рекомендуем всем участникам использовать уникальные пароли на всех веб-сайтах, а с их выбором и хранением может помочь менеджер паролей.
Учётные записи в проектах Фонда Викимедиа не требуют привязки электронной почты, но у нас мало способов помочь с восстановлением доступа к тем учётным записям, у которых не указан адрес почты. Мы рекомендуем привязать адрес электронной почты к своей учётной записи и подтвердить его. Подробные требования к паролям и рекомендации см. на странице «Политика в отношении паролей».
Благодарим добровольцев-функционеров, которые помогли нам быстро отреагировать на данный взлом. Фонд Викимедиа работает над дополнительной защитой безопасности учётных записей в проектах Фонда в рамках постоянного мониторинга и предотвращения подобных инцидентов в будущем. Если вы видите обсуждения этого вопроса в сообществах проектов, просим направлять пользователей на эту страницу и задавать вопросы на странице обсуждения.
Мы скоро сообщим подробности по работе над улучшением безопасности. Спасибо за внимание!
Updates
- (21:17, 28 March 2025 (UTC)) The language in the above post has been updated to reference the possibility of compromised devices contributing to the attack, not just compromised websites. As our review of account activity is ongoing, we also qualified that we have not seen "significant" signs of malicious editing, rather than "any" signs. You can see the revised changes on the page history (link to comparison).