Wikimedia Foundation/Sicherheitsvorfall März 2025

Die Wikimedia Foundation hat gemeinsam mit Ehrenamtlichen kürzlich ein Muster ungewöhnlicher Anmeldungen bei registrierten Konten festgestellt. Nach eingehender Prüfung haben Ehrenamtliche sowie Mitarbeitende der Wikimedia Foundation weltweit 35.893 Konten gesperrt. Diese Maßnahme hat zur Folge, dass die betroffenen Nutzerinnen ausgeloggt wurden und sich nicht erneut einloggen können. Wenn dein Konto betroffen war und mit einer E-Mail-Adresse verknüpft ist, solltest du eine Nachricht von privacy@wikimedia.org mit empfohlenen nächsten Schritten erhalten haben.

Nach allem, was unsere Sicherheits- und Technikteams herausfinden konnten, gehen wir davon aus, dass diese unbefugten Zugriffe höchstwahrscheinlich darauf zurückzuführen sind, dass Passwörter durch andere, nicht mit Wikimedia verbundene Webseiten kompromittiert wurden – insbesondere dann, wenn Nutzerinnen und Nutzer dieselben Passwörter auf mehreren Plattformen verwendet haben. Außerdem ist es möglich, dass durch das Einloggen auf Wikipedia auf einem kompromittierten Gerät Passwörter kompromittiert wurden. Dieses Vorgehen ist unter dem Begriff „Credential Stuffing“ bekannt: Dabei verwenden Angreifer gestohlene Kombinationen aus Benutzernamen und Passwörtern, um sich Zugang zu anderen Diensten zu verschaffen. Informationen aus den betroffenen Wikimedia-Konten – wie E-Mail-Adressen, Zeitzonen oder andere Profileinstellungen – waren den Angreifern vor der Sperrung der Konten zugänglich.

Wir haben derzeit keine Hinweise darauf, dass Wikimedia-Systeme selbst kompromittiert wurden. Ebenso gibt es keinen Hinweis darauf, dass bestimmte Nutzerinnen und Nutzen, Gruppen oder Communities gezielt angegriffen wurden. Es handelte sich überwiegend um inaktive oder wenig genutzte Konten – nur rund 2 % der betroffenen Konten hatten jemals 100 oder mehr Bearbeitungen vorgenommen. Wir sind noch am ermitteln, haben aber keine Hinweise auf eine signifikante Anzahl an böswilligen Bearbeitungen durch kompromittierte Konten gefunden, sodass wir derzeit nicht davon ausgehen, dass die Integrität der Wikimedia-Inhalte beeinträchtigt wurde.

Zunächst empfehlen wir allen, die direkt von dem Vorfall betroffen sind, sofort ihre Passwörter bei allen Online-Diensten zu ändern, bei denen sie dasselbe Passwort verwendet haben. Generell empfehlen wir allen, für jede Website ein eigenes, sicheres Passwort zu verwenden – Passwortmanager können dabei eine große Hilfe sein.

Wikimedia-Konten erfordern keine E-Mail-Adresse. Allerdings sind unsere Möglichkeiten zur Wiederherstellung eines kompromittierten Kontos stark eingeschränkt, wenn keine E-Mail-Adresse hinterlegt ist. Wir empfehlen daher dringend, eine bestätigte E-Mail-Adresse mit dem eigenen Wikimedia-Konto zu verknüpfen. Weitere Informationen findest du in unserer Passwortrichtlinie, einschließlich Anforderungen und bewährter Praktiken für dein Wikimedia-Passwort.

Ein großer Dank geht an die Ehrenamtlichen, die bei der schnellen Reaktion auf diesen Vorfall mitgewirkt haben. Die Foundation arbeitet parallel an zusätzlichen Sicherheitsmaßnahmen für Wikimedia-Konten, um Vorfälle wie diesen künftig noch besser verhindern und frühzeitig erkennen zu können. Falls du Diskussionen zu diesem Thema siehst, verweise bitte auf die entsprechende Meta-Wiki-Seite und stelle Rückfragen gern auf der Diskussionsseite.

Wir werden in Kürze weitere Informationen hierzu veröffentlichen. Vielen Dank!

1. (21:17, 28 March 2025 (UTC)) Die Formulierung im obigen Text wurde geändert, um auf die Möglichkeit hinzuweisen, das kompromittierte Geräte auch zu diesem Angriff beigetragen haben, nicht nur kompromittierte Websiten. Aufgrund der Tatsache, dass unsere Überprüfung noch andauert, haben wir klarifiziert, dass wir keine signifikante Anzeichen böswilliger Bearbeitungen gefunden haben, statt das wir sagen, wir haben keine Anzeichen gefunden. Die Änderungen sind in der Versionsgeschichte zu finden (Link zum Vergleich)