Incidente na Wikimedia Foundation
A Fundação Wikimedia, responsável pela Wikipédia, foi alvo de um incidente de cibersegurança na última quinta-feira (5): um worm que se autopropaga, baseado em JavaScript, começou a modificar scripts de usuários e vandalizar páginas na enciclopédia livre. Os engenheiros da Wikimedia restringiram, temporariamente, a edição em projetos durante a investigação do ataque e reverteram as modificações.
Em comunicado algumas horas depois do ataque, a Fundação revelou que apenas páginas da Meta-Wiki foram afetadas, sem alterações nos artigos visualizados por usuários externos. O incidente começou, segundo os editores, na página Village Pump (technical), com um número alto de edições automatizadas adicionando scripts escondidos e vandalismo aleatório.
Mecanismo de Propagação
O monitor de problemas da Wikipédia, chamado Phabricator, identificou o problema após o surgimento de um script malicioso na wiki russa, que, quando executado, levou à modificação do JavaScript global da enciclopédia para adição de código malicioso. O trecho estava guardado no usuário User:Ololoshka562/test.js, levado ao ar em março de 2024 e relacionado a ataques anteriores.
Especialistas do site BleepingComputer notaram que o script foi executado pela primeira vez por uma conta de funcionário da Wikimedia na última quinta-feira (5), durante testes de funcionalidade de script de usuário. Não é sabido se o script foi executado intencionalmente, acidentalmente durante o teste ou acionado por uma conta comprometida.
Impacto e Resposta
A auto-propagação do worm ocorre através da injeção de loaders JavaScript maliciosos em uma conta logada de usuário no arquivo common.js e no arquivo global da Wikipédia MediaWiki:Common.js, usado por todos os usuários. Uma vez carregado no navegador de um editor, o test.js tentou modificar dois scripts, cujo objetivo era ganhar persistência a nível de usuário e do site inteiro.
Cerca de 3.996 páginas foram modificadas, e aproximadamente 85 usuários tiveram seus arquivos common.js alterados durante o incidente. Segundo comunicado da Wikimedia, o código ficou ativo por 23 minutos, somente modificando e deletando conteúdo na Meta-Wiki, que foi restaurada desde então.
Conclusão
A Fundação também informou que nenhuma informação pessoal foi vazada e que não houve ataque coordenado, apenas o incidente envolvendo o código furtivo nos arquivos internos da enciclopédia. É possível checar o diário de incidentes para saber mais sobre o evento, e os engenheiros afirmam estar desenvolvendo medidas de segurança adicionais para minimizar incidentes do tipo no futuro.