Um ataque cibernético na Wikipédia causou a alteração de quase 4 mil páginas em apenas 23 minutos.

A Wikimedia Foundation confirmou um incidente de segurança que resultou na ativação de um worm, um tipo de malware autônomo, que vandalizou a Meta-Wiki. O ataque, que durou apenas 23 minutos, afetou quase 4 mil páginas e comprometeu arquivos de personalização de diversas contas de editores.

O impacto do ataque na Wikipédia e seus usuários

O ataque teve início quando um script JavaScript, que estava inativo desde março de 2024, foi acidentalmente ativado por um funcionário da Wikimedia durante uma revisão de segurança. Esse script, que se encontrava na Wikipédia em russo, aproveitou uma vulnerabilidade na plataforma MediaWiki para se propagar rapidamente.

Durante o breve período em que o worm esteve ativo, ele modificou aproximadamente 3.996 páginas da Meta-Wiki. Além disso, cerca de 85 contas de editores tiveram seus arquivos de personalização comprometidos. O impacto foi significativo, pois as alterações feitas pelo worm não eram apenas superficiais; ele inseriu conteúdo oculto em páginas, o que poderia ter consequências graves para a integridade da informação na plataforma.

Após a detecção do ataque, a Wikimedia Foundation tomou medidas imediatas, desativando as edições em todos os seus projetos para evitar uma propagação ainda maior do malware. Essa ação foi crucial para conter o problema e restaurar a confiança na plataforma.

Como o worm se espalhou e suas características técnicas

O worm foi projetado para explorar uma funcionalidade legítima do MediaWiki, permitindo a execução de scripts JavaScript. Ao ser carregado no navegador de um usuário autenticado, ele sobrescrevia o arquivo de personalização da conta, conhecido como common.js, com um loader. Esse loader tinha a função de buscar e carregar automaticamente outro script, garantindo que o worm fosse executado sempre que o usuário acessasse a Wikipédia.

Além disso, se o usuário infectado tivesse privilégios administrativos, o worm também modificava o arquivo global [MediaWiki:Common.js], que é carregado automaticamente por todos os editores do site. Isso criava um ciclo de infecção em cadeia, onde qualquer editor que acessasse uma página da Wikipédia se tornava um novo vetor de propagação.

O worm selecionava páginas aleatórias usando o comando interno [Special:Random] e as editava para inserir conteúdo oculto visualmente, utilizando a tag HTML display:none. Esse conteúdo incluía um link para um script hospedado em um domínio externo, basemetrika.ru, de origem russa, o que levanta preocupações sobre a segurança e a integridade da plataforma.

A Wikimedia Foundation afirmou que o incidente foi contido rapidamente e que não houve vazamento de dados pessoais dos usuários.