維基百科遭自我傳播JavaScript蠕蟲攻擊，數千頁面遭竄改

人人可編輯、內容自由、具備多語言版本的維基百科（Wikipedia），絕大多數頁面允許任何人修改，打破了傳統百科全書由少數專家壟斷的情況，具備更新速度極快、資訊涵蓋層面廣泛等特質。然而，近日發生的惡意程式攻擊事故，讓該平臺的資安防護議題浮上檯面。

根據資安新聞網站Bleeping Computer的報導，維基媒體基金會（Wikimedia Foundation，WMF）近日發生資安事件，具備自我傳播能力的JavaScript蠕蟲入侵維基系統，導致部分維基頁面遭到惡意竄改，並修改使用者的指令碼，為防止攻擊擴大，開發工程團隊一度限制部分編輯功能，並緊急回復遭竄改的內容。

這起事件最初如何發生？在蠕蟲攻擊事故發生之前，一個存放在俄羅斯維基百科的惡意指令碼被執行，導致維基百科某個全球使用的JavaScript指令碼被植入惡意程式碼。維基媒體基金會的員工疑似在測試使用者指令碼功能的過程，不慎啟動，但究竟是否為測試的過程意外載入，還是該名員工的帳號遭駭造成，目前仍不得而知。

Bleeping Computer分析上述被執行的指令碼test.js，指出此為具備自我傳播特性的蠕蟲，會自動修改頁面內容並散布惡意指令碼，在短時間內造成大量頁面被破壞。統計顯示，攻擊期間約有近4,000個頁面遭到修改，同時約85個使用者指令碼被替換為惡意版本，使惡意程式能持續透過其他使用者瀏覽行為傳播。

事件發生後，維基媒體基金會立即採取緊急措施，包括暫時停用部分使用者指令碼與Gadget功能、限制編輯操作，並由工程團隊回復受影響頁面與清除惡意程式碼。該基金會表示，目前並未發現核心基礎設施遭入侵的證據，此次事件影響用於維基媒體社群的協作與管理的平臺Meta-Wiki，以及相關的指令碼系統。

專家指出，此類攻擊凸顯開放式協作平臺在指令碼管理，以及權限控制層面的潛在風險。若惡意程式能透過使用者指令碼或網站指令碼執行，就可能在社群環境快速擴散。因此，建議平臺加強指令碼審查機制、限制高權限指令碼的修改權限，並建立更嚴格的內容安全政策（CSP）與監控機制，以降低類似攻擊再次發生的可能性。