A Wikimedia Foundation deparou-se com um incidente de segurança nas suas plataformas. Um vírus JavaScript com capacidade de auto-propagação começou a vandalizar páginas e a modificar scripts de utilizadores em várias wikis. Os editores deram o alerta inicial no fórum técnico da plataforma, notando um volume anormal de edições automatizadas que inseriam conteúdos ocultos em páginas aleatórias, de acordo com as informações avançadas pelo BleepingComputer. Para conter o ataque, os engenheiros limitaram temporariamente as edições em todos os projetos.
Como o vírus se propagou na plataforma
Com base nos registos do Phabricator da Wikimedia, a origem do problema parece estar num script alojado na Wikipedia em russo. O ficheiro, que estava na plataforma desde março de 2024 e já tinha sido associado a investidas anteriores, injetava código malicioso diretamente nas configurações dos editores com sessão iniciada.
Acredita-se que o código tenha sido executado pela primeira vez por uma conta de um funcionário da Wikimedia durante testes de funcionalidades, embora não seja claro se ocorreu de forma intencional, acidental ou através de uma conta comprometida. A propagação avançou quando o script tentou sobrescrever ficheiros locais de utilizadores para garantir que voltava a carregar sempre que estes navegassem na plataforma. Nos casos em que os editores tinham privilégios suficientes, o vírus alterou também o ficheiro de configuração global. Isto fez com que qualquer pessoa que carregasse o script global ativasse automaticamente a ameaça, repetindo o ciclo de infeção na sua própria conta.
Impacto e resolução rápida
A análise indica que perto de 3.996 páginas foram modificadas e cerca de 85 utilizadores tiveram os seus ficheiros de configuração comprometidos durante o incidente, não se sabendo ainda o número exato de páginas eliminadas. O código tinha a capacidade de solicitar páginas de forma aleatória para inserir imagens indesejadas e esconder os seus mecanismos de carregamento.
Perante a situação, a equipa de engenharia agiu rápido. As alterações maliciosas foram revertidas e os ficheiros dos utilizadores afetados foram restaurados. As páginas modificadas foram suprimidas dos históricos públicos para evitar novos problemas. Neste momento, a ameaça foi removida e a edição já decorre com normalidade, aguardando-se agora por um relatório detalhado da fundação para explicar de forma oficial a dimensão total deste contratempo.
Nenhum comentário
Seja o primeiro!