本文翻译自 维基百科管理员账户大规模遭入侵，被迫进入只读模式，原载于 Hacker News。

事件概要

3月5日，维基百科因管理员账户大规模遭入侵而被迫进入只读模式。事件起因是维基媒体基金会（WMF）的一名安全工程师在进行测试时，意外触发了一个沉寂2年的恶意脚本。

事件经过

1. 测试失误

• 维基媒体基金会的安全工程师使用高权限的基金会员工账户进行测试
• 测试涉及加载大量用户脚本，但工程师选择加载随机用户脚本而非创建专用测试脚本
• 该账户拥有编辑全局CSS和JavaScript的权限（这些代码会在每个页面执行）

2. 恶意脚本激活

• 其中一个被加载的脚本是来自俄语维基的2年前恶意脚本
• 这个脚本具有自我复制能力：
  • 注入到全局JavaScript中
  • 感染所有访问的用户脚本
  • 快速传播并开始破坏内容
• 脚本触发了大量警报

3. 紧急响应

维基媒体基金会迅速采取行动：

时间线（UTC时间）：

• 15:36 - 开始调查访问问题
• 16:11 - 识别问题并开始实施修复
• 17:09 - 恢复读写模式，部分功能仍被禁用
• 17:36 - 修复实施完成，持续监控
• 18:36 - 继续监控后续问题
• 次日 00:05 - 大部分用户脚本功能已恢复

4. 只读模式

为了防止恶意脚本继续传播，维基百科被迫进入只读模式约2小时：

• 用户无法编辑内容
• 部分功能被禁用
• 全球所有维基项目受影响

暴露的问题

1. 权限管理不当

• 安全工程师使用高权限账户进行测试
• 该账户可以编辑全局代码，风险极高
• 应使用权限受限的测试账户

2. 测试环境缺失

• 在生产环境直接测试，而非使用测试环境
• 加载随机脚本而非创建专用测试数据
• “Everyone has a test environment. Some are lucky enough to have a separate production environment.”

3. 代码审计漏洞

• 恶意脚本在俄语维基存在2年未被发现
• 缺乏有效的代码审查和监控机制
• 用户可以随意添加JavaScript代码并执行

4. 安全文化问题

• 社区评论指出这是”pretty egregious failure for a staff security engineer”
• 反映出组织层面的安全意识不足
• 类似问题可能已经发生过多次

社区反应

Hacker News 上引发了激烈讨论：

批评声音：

• “Why would anyone test in production???!!!”
• “300 million dollar organization btw”
• “This is a pretty egregious failure for the org”

技术讨论：

• 与 Samy 蠕虫对比（自我复制的XSS攻击）
• 讨论大型系统如何安全地在生产环境测试
• 引用科幻小说《A Fire Upon the Deep》警示

修复建议：

• 编写正则表达式检测恶意脚本
• 从备份恢复所有受影响页面
• 加强代码审查和权限管理

经验教训

对开发者：

1. 永远不要在生产环境测试 - 使用专门的测试环境
2. 最小权限原则 - 测试时使用权限受限的账户
3. 不要加载未知代码 - 创建专用测试数据
4. 监控和审计 - 定期检查用户提交的代码

对组织：

1. 建立测试环境 - 与生产环境完全隔离
2. 权限分离 - 高权限账户仅用于必要操作
3. 代码审查 - 所有用户提交的代码都需要审核
4. 应急响应 - 建立快速响应机制

当前状态

✅ 维基百科已恢复正常 ✅ 大部分用户脚本功能已恢复 ✅ 持续监控中

相关链接

• HN 讨论帖
• 维基媒体状态页
• Phabricator 工单
• 维基百科技术讨论

安全提醒：此次事件再次证明了安全开发实践的重要性。无论组织大小，都应该遵循最小权限原则，使用独立的测试环境，并对所有代码进行严格审查。