Фонд Викимедиа/Взлом аккаунтов в марте 2025 года

Фонд Викимедиа совместно с волонтёрами-функционерами обнаружил закономерность нетипичных случаев входа в ряд зарегистрированных учетных записей. Было проведено расследование, после которого работники Фонда и волонтёры глобально заблокировали 35 893 учётные записи с их принудительным выходом из системы и запретом на повторный вход. Если ваш аккаунт затронут такой блокировкой и к нему привязан адрес электронной почты, вам должно было прийти письмо с адреса privacy@wikimedia.org, в котором находятся рекомендации по дальнейшим действиям.

Исходя из того, что обнаружили команды безопасности и инженерии, мы считаем, что причиной этой несанкционированной активности, скорее всего, является повторное использование паролей на скомпрометированном вебсайте или же вход на сайты проектов Викимедиа со взломанного устройства. Это делает возможной "подстановку учетных данных", которая является, к сожалению, довольно распространенной атакой. В процессе нее злоумышленники находят базы украденных имен пользователей и паролей, пытаясь использовать их сочетания на других сайтах, где такое же имя пользователя и адрес электронной почты присутствуют в профиле. Информация, ассоциированная со взламываемой учётной записью (адрес электронной почты, часовой пояс и настройки профиля), была доступна злоумышленникам с момента взлома и до момента наложения блокировки.

В данный момент у нас нет причин полагать, что источником взлома были системы Фонда. Также у нас нет доказательств того, что атака была направлена на конкретную группу пользователей или конкретное сообщество. Большинство затронутых учётных записей имели низкую активность или были неактивны; лишь 2 % из них имели 100 правок и более. Мы все еще продолжаем расследование, но пока не обнаружили злонамеренной активности со взломанных учётных записей. Поэтому у нас нет причин предполагать, что взлом повлиял на данные в проектах Фонда.

Прежде всего мы просим пользователей, затронутых этим инцидентом, немедленно сменить пароли на всех сайтах, где они использовали тот же пароль, что и здесь. Говоря в общем, мы настоятельно рекомендуем всем участникам использовать уникальные пароли на всех веб-сайтах, а с их выбором и хранением может помочь менеджер паролей.

Учётные записи в проектах Фонда Викимедиа не требуют привязки электронной почты, но у нас мало способов помочь с восстановлением доступа к тем учётным записям, у которых не указан адрес почты. Мы рекомендуем привязать адрес электронной почты к своей учётной записи и подтвердить его. Подробные требования к паролям и рекомендации см. на странице «Политика в отношении паролей».

Благодарим добровольцев-функционеров, которые помогли нам быстро отреагировать на данный взлом. Фонд Викимедиа работает над дополнительной защитой безопасности учётных записей в проектах Фонда в рамках постоянного мониторинга и предотвращения подобных инцидентов в будущем. Если вы видите обсуждения этого вопроса в сообществах проектов, просим направлять пользователей на эту страницу и задавать вопросы на странице обсуждения.

Мы скоро сообщим подробности по работе над улучшением безопасности. Спасибо за внимание!

1. (21:17, 28 March 2025 (UTC)) Формулировка в приведенном выше сообщении была обновлена, чтобы указать на возможность того, что атаке поспособствовали также взломанные устройства, а не просто скомпрометированные вебсайты. В ходе продолжающейся проверки активности учетных записей, мы также определили, что мы не обнаружили "значительных" признаков вредоносного редактирования, а не "вообще никаких" признаков. Вы можете ознакомиться с изменениями в истории страницы (ссылка на сравнение).