维基媒体基金会刚透露个坏消息,维基百科被一种带有自我传播能力的Javascript蠕虫给折腾了,有超过4000个页面被恶意篡改了。为了不让它扩散得更厉害,开发团队给急坏了,立马限制了一些编辑功能,还赶在这时候去修复那些受影响的页面。经过安全媒体分析,这次攻击很可能是基金会内部的员工不小心触发了黑客早就埋在百科页面里的一个恶意脚本test.js。这段代码不光能修改内容,还能自己复制传播,短短时间里就把85个用户脚本给替换了。面对这种突发状况,基金会马上启动了应急预案,给编辑操作设了限制,还暂时停用了部分用户指令码和Gadget功能。随后工程团队就火力全开,一点一点地恢复那些页面并且把恶意程序清理干净了。基金会强调核心基础设施现在还没被攻陷的迹象。不过专家指出,开放协作平台在脚本管理和权限控制上确实有风险。因为平台让用户自己上传执行自定义脚本,要是恶意脚本进去了,后果肯定很严重。所以专家建议平台得加强审核和审查机制,严管高权限脚本的修改权限,再把内容安全策略建完善点,好让这类攻击以后别再来捣乱。