Wikipedia in read-only mode nadat malafide script tal van admin-accounts compromitteert

In dit artikel:

Vanavond gingen alle Wikimedia-projecten tijdelijk in read-only nadat een test van een security engineer een malafide user-script activeerde en daarmee meerdere admin-accounts compromitteerde. De engineer draaide onder zijn eigen, zeer machtige account willekeurige gebruikersscripts — inclusief een kwaadaardig script dat eerder al gebruikt was bij aanvallen op twee alternatieve wikiprojecten. Dat script werd via gecompromitteerde pagina’s automatisch uitgevoerd bij bezoekers (ook bij andere admins), leidde tot vandalisme, het verwijderen van artikelen en injectie van code om zichzelf verder te verspreiden.

Naar aanleiding daarvan schakelde Wikimedia alle user-JavaScript uit en zette de sites tijdelijk op read-only; inmiddels zijn de wiki’s weer in read-write mode, maar sommige functies blijven uitgeschakeld. Volgens een medewerker is er geen blijvende schade en zijn geen persoonsgegevens gelekt. De gebeurtenis werd gemeld op Reddit en Hacker News en onderstreept het risico van het testen met scripts op accounts met site-brede rechten en het belang van strikte code-review en isolatie van dergelijke tests.