Wikimedia Foundation/Phát hiện hàng nghìn tài khoản bị xâm nhập tháng 3 năm 2025
Quỹ Wikimedia, phối hợp với các tình nguyện viên, gần đây đã phát hiện một kiểu (pattern) đăng nhập bất thường vào các tài khoản đã đăng ký. Sau quá trình điều tra, các tình nguyện viên và nhân viên WMF đã khóa toàn cục 35.893 tài khoản, buộc các tài khoản này đăng xuất và ngăn chặn đăng nhập lại. Nếu tài khoản của bạn bị ảnh hưởng và có liên kết với một địa chỉ email, bạn sẽ nhận được email thông báo từ privacy@wikimedia.org với các bước được khuyến nghị nên làm tiếp theo.
Dựa trên tất cả những gì các nhóm bảo mật và kỹ thuật của chúng tôi đã tìm thấy, chúng tôi tin rằng hoạt động trái phép này rất có thể là do mật khẩu của người dùng bị xâm nhập từ các trang web không liên quan đến Wikimedia, nơi người dùng đã sử dụng lại mật khẩu trên nhiều trang web khác nhau hoặc đăng nhập các dự án Wikimedia ở một máy bị xâm nhập. Đây là một hình thức tấn công phổ biến có tên "nhồi nhét thông tin đăng nhập (credential stuffing)", trong đó kẻ tấn công sử dụng danh sách tên người dùng và mật khẩu bị đánh cắp để thử đăng nhập vào nhiều trang web và tài khoản khác nhau. Thông tin tài khoản từ các tài khoản bị ảnh hưởng (chẳng hạn như địa chỉ email liên kết, múi giờ và các cài đặt hồ sơ khác) đã có thể bị kẻ tấn công truy cập trước khi tài khoản bị khóa.
Hiện tại, chúng tôi không có lý do để tin rằng các hệ thống của Wikimedia là nguồn gốc của các cuộc xâm nhập, cũng như không có bằng chứng cho thấy muốn nhắm mục tiêu đến người dùng hoặc nhóm người dùng cụ thể nào, hay bất kỳ cộng đồng nào. Hầu hết các tài khoản bị ảnh hưởng đều không hoạt động hoặc có mức độ hoạt động thấp – chỉ khoảng 2% trong số đó từng thực hiện 100 lần sửa đổi trở lên trong suốt thời gian tồn tại. Chúng tôi vẫn điều tra cũng chưa phát hiện bằng chứng về hoạt động sửa đổi đáng ngờ từ bất kỳ tài khoản nào bị xâm nhập, vì vậy chúng tôi tin rằng tính toàn vẹn của nội dung Wikimedia không bị ảnh hưởng.
Các bước tiếp theo
Trước tiên, chúng tôi khuyến khích bất kỳ người dùng nào bị ảnh hưởng trực tiếp bởi sự cố này hãy ngay lập tức thay đổi mật khẩu trên mọi tài khoản trực tuyến mà họ đã sử dụng cùng một mật khẩu. Theo đó, chúng tôi khuyến khích tất cả người dùng sử dụng mật khẩu duy nhất cho mỗi trang web mà họ có tài khoản, và các trình quản lý mật khẩu phổ biến có thể hỗ trợ điều này.
Tài khoản Wikimedia không bắt buộc phải có địa chỉ email, nhưng chúng tôi có rất ít khả năng hỗ trợ khôi phục quyền truy cập đối với các tài khoản bị xâm phạm nếu không có email liên kết. Chúng tôi khuyến nghị người dùng nên có một địa chỉ email đã xác nhận trên tài khoản Wikimedia của mình. Vui lòng xem Quy định về mật khẩu để tìm hiểu thêm về các yêu cầu và thực hiện bảo mật tốt cho mật khẩu tài khoản Wikimedia của bạn.
Cảm ơn các tình nguyện viên đã hỗ trợ phản ứng nhanh chóng với sự cố này. Tại Quỹ Wikimedia, chúng tôi đang triển khai các biện pháp bảo mật bổ sung cho tài khoản người dùng Wikimedia như một phần trong nỗ lực liên tục nhằm ngăn chặn và phát hiện các sự cố tương tự trong tương lai. Nếu bạn thấy bất kỳ thảo luận nào liên quan, vui lòng hướng mọi người đến trang Meta-Wiki này và đặt câu hỏi tại trang thảo luận.
Chúng tôi sẽ chia sẻ thêm về công việc này trong thời gian sớm. Trân trọng cảm ơn!
Cập nhật
- (21:17, 28 March 2025 (UTC)) Ngôn ngữ trong bài đăng ở trên đã được cập nhật để tham chiếu đến khả năng các thiết bị bị xâm phạm góp phần vào cuộc tấn công, không chỉ các trang web bị xâm phạm. Khi chúng tôi đang xem xét hoạt động của tài khoản, chúng tôi cũng xác nhận rằng chúng tôi không thấy "dấu hiệu" đáng kể nào về chỉnh sửa độc hại, thay vì bất kỳ dấu hiệu nào. Bạn có thể thấy những thay đổi đã sửa đổi trên lịch sử trang (liên kết).