👀 Как один тестовый скрипт устроил хаос на Wikipedia Привет, иногда самые неприятные инциденты в безопасности происходят не из-за хакеров, а из-за обычных тестов. В Wikimedia Foundation недавно пришлось временно перевести Wikipedia и связанные Wiki-сайты в режим ограничений. Причина довольно неожиданная: во время эксперимента инженер случайно запустил старый вредоносный JavaScript-скрипт, который начал распространяться по системе как настоящий червь. 👨‍💻 История получилась довольно показательная. Инженер тестировал лимиты API для пользовательских скриптов и запускал большое количество случайных user scripts. Делалось это с привилегированной учётки, у которой есть доступ к глобальному скрипту MediaWiki. Среди случайных файлов оказался старый скрипт test.js, который много лет лежал на ru.wikipedia.org. Этот код оказался червём и начал автоматически добавлять себя в пользовательские JS-файлы. 🔴 Скрипт внедрялся в User:<username>/common.js и MediaWiki:Common.js, после чего начинал массово редактировать случайные страницы. Для выбора страниц использовалась команда: Special:Random. Он быстро распространился по Meta-Wiki. Получилась цепная реакция. Когда пользователи открывали страницы, вредоносный JS запускался у них в браузере и продолжал заражение. В итоге несколько тысяч страниц были изменены, а примерно у сотни пользователей переписались персональные скрипты. 🔐 К счастью, команда Wikimedia довольно быстро всё остановила. Возможность редактирования временно отключили, выполнение пользовательских JavaScript-скриптов запретили, а страницы откатили. Весь инцидент занял около двух часов. По словам фонда, признаков утечки данных нет, но сам кейс отлично показывает, как опасно запускать непроверенные скрипты с привилегиями администратора. P. S Никогда не тестируй код на проде с привилегиями. Даже если это «просто эксперимент». #Безопастьность #Wikipedia #DevSecOps 👍 Белый хакер