Prima di procedere
Un allarme rosso ha scosso la comunità di Wikipedia: la piattaforma è stata temporaneamente messa offline a seguito della scoperta di un codice potenzialmente dannoso. L'organizzazione no-profit Wikimedia Foundation, responsabile della gestione dell'enciclopedia online più grande del mondo, ha agito prontamente per proteggere i suoi utenti da una minaccia che avrebbe potuto compromettere seriamente l'integrità dei contenuti e la sicurezza degli account.
L'attacco, sferrato attraverso un codice JavaScript malevolo, ha preso di mira un account legato alla stessa Wikimedia Foundation, denominato WMFOffice. Secondo quanto riportato, il codice era in grado di cancellare articoli e, cosa ancora più inquietante, di inserire messaggi in lingua russa nelle descrizioni delle modifiche. Il testo incriminato recitava: "Chiudiamo il progetto". Fortunatamente, l'azione del codice è stata limitata al sito Meta-Wiki, una piattaforma dedicata ai progetti software dell'organizzazione.
Le indagini hanno permesso di risalire all'origine del codice: un utente aveva caricato il file incriminato, denominato test.js, nella sezione in lingua russa del sito nel lontano marzo 2024. Ciò significa che il codice è rimasto inattivo, in una sorta di "letargo", per circa due anni, pronto a scatenarsi al momento opportuno.
Il codice malevolo conteneva riferimenti all'estensione Special:Nuke, uno strumento utilizzato dagli amministratori per eliminare in massa pagine di nuova creazione. Il funzionamento previsto era quello di attivare la funzione Nuke su materiali casuali e di tentare di caricare un'immagine inesistente denominata Woodpecker10.jpg.
La potenziale gravità dell'attacco è stata paragonata a quella di un worm informatico. Se il file infetto fosse stato caricato sulla pagina principale di una delle piattaforme Wikipedia, avrebbe potuto consentire a malintenzionati di intercettare le funzioni di editing di qualsiasi account con privilegi di amministratore, semplicemente visitando la pagina compromessa. Un rischio enorme per la credibilità e l'affidabilità dell'enciclopedia.
L'attivazione del codice malevolo è avvenuta durante un controllo di sicurezza di routine. I tecnici di Wikimedia Foundation stavano testando le applicazioni JavaScript quando hanno inavvertitamente "risvegliato" il file dormiente. La reazione è stata immediata: blocco temporaneo dell'editing su Wikipedia e sugli altri progetti Wikimedia per consentire la rimozione del codice e la verifica della sicurezza.
In una dichiarazione rilasciata a PCMag, Wikimedia Foundation ha affermato: "Oggi, i membri del team di sicurezza di Wikimedia Foundation stavano conducendo una revisione di sicurezza del codice utente su Wikipedia. Durante questa revisione, abbiamo attivato del codice dormiente che è stato rapidamente identificato come dannoso. Come misura precauzionale, abbiamo temporaneamente disabilitato la modifica su Wikipedia e altri progetti Wikimedia mentre rimuovevamo il codice dannoso e confermavamo che i siti fossero sicuri per gli utenti. Il problema di sicurezza che ha causato questa interruzione è stato risolto. Il codice è stato attivo per 23 minuti. Durante questo periodo, ha modificato e cancellato materiale su Meta-Wiki, che è stato ripristinato, ma non ha causato danni permanenti. Stiamo sviluppando ulteriori misure di sicurezza per ridurre il rischio che incidenti simili si ripetano". L'utente sospettato di aver caricato il file test.js è stato immediatamente bloccato.
L'episodio sottolinea l'importanza di una vigilanza costante e di rigorosi controlli di sicurezza per proteggere piattaforme come Wikipedia, che rappresentano un patrimonio informativo di inestimabile valore per milioni di persone in tutto il mondo. L'incidente ha spinto Wikimedia Foundation a rafforzare ulteriormente le proprie misure di sicurezza, implementando nuovi protocolli e strumenti per prevenire future minacce. La comunità di Wikipedia, composta da migliaia di volontari che quotidianamente contribuiscono alla creazione e alla revisione dei contenuti, è stata invitata a segnalare tempestivamente qualsiasi attività sospetta o anomalia riscontrata sulla piattaforma.
