Wikipedia, yönetici hesaplarının toplu sızdırılması nedeniyle salt okunur moda geçirildi, ardından geri yüklendi

 (wikimediastatus.net)
1 puan yazan GN⁺ 2026-03-06 | 1 yorum | WhatsApp'ta paylaş
  • Wikimedia Vakfı'nın durum sayfasına göre, 5 Mart 2026'da Wikipedia dahil çeşitli wiki hizmetleri geçici olarak salt okunur moda alındı
  • Süreç, wiki erişim kesintisi ile başlayıp daha sonra düzenleme işlevinin kısıtlanması aşamasına geçti
  • Neden açıkça belirtilmedi, ancak sorun tespit edildikten sonra düzeltme çalışmaları yürütüldü ve bazı işlevler hâlâ devre dışıydı
  • 6 Mart'ta okuma-yazma işlevi geri yüklendi ve kullanıcı betiklerinin çoğu da yeniden etkinleştirildi
  • Wikimedia daha sonra sürekli izleme yoluyla kararlılık kontrollerini sürdürdüğünü belirtti

Wikimedia sistem durumu özeti

  • Durum sayfasında tüm sistemlerin normal çalıştığı (All Systems Operational) gösteriliyor
    • Hem okuma hem düzenleme işlevi Operational olarak işaretlenmiş
    • Saniyede 131.002 istek, kullanıcıların bildirdiği bağlantı hatası 0,08, wiki hata yanıtı 1,27, ortalama yanıt süresi 0,20 saniye ve başarılı düzenleme 11,4 olarak kaydedildi

5-6 Mart 2026 wiki salt okunur mod olayı

  • 5 Mart 15:36 UTC'den itibaren bazı wikilere erişim sorunları bildirildi
    • 16:11 UTC'de sorun fark edildi ve düzeltme çalışmaları başladı
    • 17:09 UTC'de sorunun kök nedeninin belirlendiği ve düzeltmenin sürdüğü gösterildi
    • 17:36 UTC'de okuma-yazma modu geri yüklendi, bazı işlevler ise hâlâ devre dışıydı
    • 18:36 UTC'de düzeltme tamamlandıktan sonra izleme aşamasına geçildi
  • 6 Mart 00:05 UTC'de sürekli izleme devam ediyor şeklinde raporlandı
    • Ardından olay, “wikiler birkaç saat boyunca okuma-yazma modunda kaldı ve kullanıcı betiklerinin çoğu geri yüklendi” ifadesiyle çözüldü (Resolved) olarak kapatıldı

Mart 2026 başındaki diğer ilgili olaylar

  • 3 Mart'ta veritabanı sunucusu sorunu nedeniyle düzenleme gecikmeleri yaşandı, ancak aynı gün çözüldü
    • 10:09 UTC'de sorun tespit edildi, 10:17 UTC'de düzeltme tamamlanıp izlemeye geçildi, 10:24 UTC'de normale dönüldü
  • 25-26 Şubat'ta wiki erişim performansında düşüş bildirildi ve her iki olay da düzeltildikten sonra normale döndü
  • 20 Şubat'ta Avrupa bölgesinde bağlantı gecikmesi yaşandı; neden tespit edilip düzeltme ve izleme süreçlerinin ardından sorun çözüldü

Abonelik ve bildirim özellikleri

  • Kullanıcılar e-posta, Slack, Webhook, Atom/RSS feed üzerinden olay başlangıcı, güncelleme ve çözüm bildirimleri alabiliyor
  • E-posta aboneliğinde OTP doğrulaması ve reCAPTCHA koruması uygulanıyor
  • Slack aboneliği Atlassian Cloud şartları ve gizlilik politikası kapsamında işletiliyor

Özet

  • Wikimedia mart başında birkaç kez düzenleme işlevi kesintisi ve performans düşüşü olayları yaşadı, ancak hepsi giderildi
  • 5-6 Mart'taki salt okunur mod geçişi en büyük olaydı ve düzeltmenin ardından işlevlerin çoğu normale döndü
  • Şu anda tüm sistemler normal çalışma durumunda kalmaya devam ediyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-03-06
Hacker News yorumları

  • Kamuya açık Phabricator kaydına bakılırsa, Wikimedia Foundation'dan bir güvenlik mühendisi test amacıyla rastgele kullanıcı script'leri yüklemiş
    Bunlardan biri 2 yıllık kötü amaçlı bir ruwiki script'iymiş ve bu script kendini global JS'e enjekte ederek hızla yayılıp zarara yol açmış
    Sonunda durum, tüm vikinin salt okunur moda alınmasına yetecek kadar ciddileşmiş

    • Bu hatayı yapan kişinin bir güvenlik mühendisi olması özellikle daha da sarsıcı
    • İlk başta aktif bir saldırgan olduğu sanılmış ama bunun geçmişten kalan kötü amaçlı bir script olduğu anlaşılınca çözüm basitleşmiş
      Regex kullanarak ilgili script tespit edilip, enfekte sayfalar önceki sürümlerine geri döndürülebilmiş
    • Bu olay neredeyse Samy worm vakasına benziyor
    • 300 milyon dolarlık bir organizasyonun böyle bir hata yapması inanılır gibi değil
    • “Claude, script'in kötü amaçlı kod çalıştırdı!” “Evet, üzgünüm!” gibi bir diyalog geçmiş gibi duruyor

  • Bu worm'un çalışma biçimi ilginç
    MediaWiki'nin Common.js ve User:Common.js sayfalarına kendini enjekte ederek global bulaşıcılığı koruyor, jQuery ile de enfeksiyon izlerini gizliyor
    Rastgele 20 belgeyi tahrif ediyor ve yönetici hesaplarını enfekte ettiğinde Special:Nuke özelliğiyle belgeleri siliyor

    • Motivasyon, basitçe “ne kadar kaos çıkarabildiğime bakın” düzeyinde bir şaka gibi görünüyor
    • basemetrika.ru alan adı mevcut değil. NXDomain yanıtı dönüyor
    • XSS deniyor gibi görünse de aslında etkisiz kod olduğu için dış yükleme gerçekleşmiyor
    • Bu kadar sofistike bir worm'un AI tarafından tasarlanmış olabileceğini düşünenler var

  • Veritabanının kendisinin bulaşma vektörü olması nedeniyle temizlik işinin dijital adli analiz kâbusu olacağı söylenmiş
    Ama root yetkisi ele geçirilmemiş ve yedekler varsa kurtarma mümkün görünüyor

    • Birkaç günlük düzenlemenin kaybolması, Wikipedia'nın geneli açısından tolere edilebilir olurdu
    • Fiiliyatta ise DB rollback yapılmadı; bunun yerine sıradan wiki geri alma araçları kullanıldı ve Wikipedia'nın kendisi değil yalnızca Meta sitesi etkilendi

  • Rusça wiki topluluğundaki incelemeye göre, 2023'te Rusça alternatif vikilere yönelik vandalizm saldırılarında kullanılan kodun bu olayda da kullanıldığı düşünülüyor
    Script, ruwiki kullanıcısı Ololoshka562 tarafından oluşturulan test.js idi ve
    WMF çalışanı sbassett'in test sırasında bu script'i yükleyince çalıştığı tahmin ediliyor

    • Geçen yıl da ruwiki benzer bir yöntemle büyük çaplı tahrifata uğramıştı

  • Eski tip bir XSS worm'u gibi görünüyor
    MediaWiki'nin kullanıcılara JavaScript enjekte etme izni veren yapısının tehlikeli olduğunu uzun zamandır düşünenler var

    • Asıl şaşırtıcı olan, bu tür XSS'nin bugüne kadar parola hırsızlığı gibi saldırılarda kullanılmamış olması
      Şu yazıda anlatıldığı gibi tarayıcı otomatik doldurma zaafiyetinden yararlanılsaydı çok daha ciddi olabilirdi

  • Wikipedia'dan memnun olmasanız bile, bu olayı bahane ederek taciz veya stalking yapmak meşrulaştırılamaz

  • Bir wiki editörü arkadaşın anlattığına göre bu olay bir cross-site scripting (XSS) hack'i gibi görünüyor
    Rusça vikideki bir kullanıcı sayfasında başlayan kod, Meta'nın common.js'i üzerinden yayılmış ve
    yöneticilerin bunu elle geri aldıkları Recent Changes sayfasında görülebiliyormuş

    • Bu, “Rusya kaynaklı bir saldırı” gibi görünebilir ama böyle bir kaynağı sahte göstermek çok kolay
    • Buna karşılık başka bir kullanıcı, bu kodun eski Rus hack aracı “woodpecker”ın bir varyantı olmasının daha muhtemel olduğunu söylüyor

  • Ek bağlam için Wikipediocracy forumu,
    Village Pump tartışması,
    Reddit megathread'i gibi bağlantılar var
    Söz konusu payload bu bağlantıda görülebilir

    • Web Archive sürümü güvenli biçimde görüntülenebilir
    • Bazı bağlantılar erişim izni olmadığı için açılamıyor

  • Aslında bunun gibi bir olayın yaşanması an meselesiydi
    Wikipedia güvenlik konusunda fazlasıyla rahat bir tavır sergiliyordu
    Sadece “interface administrator” yetkisine sahip olmak bile global JS/CSS düzenlemek için yeterliydi ve 2FA de ancak yakın zamanda getirildi
    Üstelik birçok kullanıcı doğrulanmamış kullanıcı script'leri kullanıyor
    Bu yapının kendisi başlı başına bir güvenlik kâbusu ve kullanıcı script'lerinin global olarak devre dışı bırakılması da muhtemelen bu yüzden

    • Eskiden ana sayfa bile silinmişti (bağlantı)
    • Şu anda yaklaşık 137 interface administrator var ve çoğu Wikimedia çalışanı olduğu için en azından doğrulanmış kişiler sayılıyor
    • İnternet giderek daha düşmanca bir ortama dönüştüğü için, bu tür sorunları çözmeye yönelik bağış veya teknik destek gerektiği düşünülüyor
    • Tarayıcı eklentileri (TamperMonkey vb.) üzerinden kullanıcı script'leri hâlâ varlığını sürdürüyor, bu yüzden tam engelleme mümkün değil
    • İngilizce Wikipedia özelinde fiilen aktif olan 15 interface administrator bulunduğu belirtiliyor (bkz.)

  • Artık AI Wikipedia'nın tamamını kazıdığı için kimsenin Wikipedia'yı doğrudan kullanmadığına dair şakalı yorumlar da var