Wikimedia Foundation sulki Wikipedia-muokkaukset haitallisen JavaScript-koodin vuoksi, joka poisti sivuja ja jätti venäjäksi kirjoitetun viestin. Koodi oli aktiivinen 23 minuuttia, mutta vakavaa vahinkoa vältyttiin.
© E. Vartanyan
Wikimedia Foundation on väliaikaisesti poistanut Wikipediaan ja muihin projekteihin liittyvät muokkausmahdollisuudet havaittuaan haitallisen JavaScript-koodin. Käyttäjät huomasivat epäilyttävää toimintaa: skripti saattoi poistaa sivuja ja jättää muokkauskuvauksiin venäjäksi kirjoitetun viestin, jossa luki "Projektin sulkeminen".
Haitallinen tiedosto liitettiin WMFOffice-tiliin. Se käytti ylläpidon laajennusta Special:Nuke massasivujen poistoon valiten materiaaleja satunnaisesti. Skripti yritti myös lisätä olematonta kuvaa. Koodi paljastui ladatuksi jo maaliskuussa 2024, ja se oli pysynyt toimettomana lähes kaksi vuotta.
Tapahtuma sattui sisäisen käyttäjäskriptien tarkastuksen aikana: turvallisuusasiantuntijat aktivoidaan vahingossa "nukkuvan" tiedoston, tunnistivat nopeasti uhan ja siirsivät sivustot vain luku -tilaan. Säätiön mukaan koodi oli aktiivinen vain 23 minuutin ajan, jona aikana se ehti tehdä joitakin muutoksia, mutta vakavaa vahinkoa vältyttiin—materiaaleja palautetaan jo.
Wikimedia korosti, että haavoittuvuus on korjattu ja suojatoimia vahvistetaan estämään vastaavia tapauksia tulevaisuudessa. Käyttäjä, joka oletettavasti latasi test.js-tiedoston, on estetty.