Wikipedia sempat beralih ke mode baca saja akibat kebocoran massal akun administrator, lalu dipulihkan

 (wikimediastatus.net)
1 poin oleh GN⁺ 2026-03-06 | 1 komentar | Bagikan ke WhatsApp
  • Menurut halaman status Wikimedia Foundation, pada 5 Maret 2026 beberapa layanan wiki, termasuk Wikipedia, sempat beralih ke mode baca saja untuk sementara
  • Insiden dimulai dari gangguan akses wiki, lalu berlanjut ke tahap pembatasan fungsi penyuntingan
  • Penyebabnya tidak dijelaskan secara spesifik, tetapi setelah masalah diidentifikasi, pekerjaan perbaikan dilakukan, dan beberapa fungsi masih berada dalam keadaan nonaktif
  • Pada 6 Maret, fungsi baca-tulis telah dipulihkan, dan sebagian besar fungsi skrip pengguna juga kembali diaktifkan
  • Wikimedia kemudian melakukan pemantauan berkelanjutan untuk memeriksa stabilitas

Ringkasan status sistem Wikimedia

  • Halaman status menunjukkan semua sistem beroperasi normal (All Systems Operational)
    • Fungsi membaca dan menyunting sama-sama ditandai Operational
    • Tercatat 131.002 permintaan per detik, 0,08 kesalahan koneksi yang dilaporkan pengguna, 1,27 respons error wiki, waktu respons rata-rata 0,20 detik, dan 11,4 penyuntingan berhasil

Insiden mode baca saja wiki pada 5–6 Maret 2026

  • Sejak 5 Maret pukul 15:36 UTC, masalah akses ke sebagian wiki mulai dilaporkan
    • Pada 16:11 UTC, masalah dikenali dan pekerjaan perbaikan dimulai
    • Pada 17:09 UTC, status menunjukkan penyebab masalah telah diidentifikasi dan perbaikan sedang berlangsung
    • Pada 17:36 UTC, mode baca-tulis dipulihkan, tetapi beberapa fungsi masih nonaktif
    • Pada 18:36 UTC, status beralih ke tahap pemantauan setelah perbaikan selesai
  • Pada 6 Maret pukul 00:05 UTC, dilaporkan masih dalam pemantauan berkelanjutan
    • Setelah itu, insiden ditandai Resolved, dengan keterangan bahwa “wiki telah tetap berada dalam mode baca-tulis selama beberapa jam, dan sebagian besar fungsi skrip pengguna telah dipulihkan

Insiden terkait lain pada awal Maret 2026

  • Pada 3 Maret, terjadi penundaan penyuntingan akibat masalah server database, tetapi diselesaikan pada hari yang sama
    • Masalah diidentifikasi pada 10:09 UTC, perbaikan selesai pada 10:17 UTC lalu masuk tahap pemantauan, dan kembali normal pada 10:24 UTC
  • Pada 25–26 Februari, dilaporkan penurunan performa akses wiki, dan masing-masing dipulihkan setelah perbaikan
  • Pada 20 Februari, terjadi keterlambatan akses di wilayah Eropa, dan diselesaikan setelah penyebabnya diidentifikasi, diperbaiki, lalu dipantau

Fitur langganan dan notifikasi

  • Pengguna dapat menerima notifikasi insiden, pembaruan, dan penyelesaian melalui email, Slack, Webhook, dan feed Atom/RSS
  • Saat berlangganan email, diterapkan verifikasi OTP dan perlindungan reCAPTCHA
  • Langganan Slack dijalankan sesuai ketentuan Atlassian Cloud dan kebijakan privasi

Ringkasan

  • Wikimedia mengalami beberapa insiden penghentian fungsi penyuntingan dan penurunan performa pada awal Maret, tetapi semuanya telah dipulihkan
  • Peralihan ke mode baca saja pada 5–6 Maret merupakan insiden terbesar, dan setelah perbaikan sebagian besar fungsi kembali normal
  • Saat ini semua sistem tetap berada dalam status beroperasi normal

Bacaan terkait

1 komentar

 
GN⁺ 2026-03-06
Komentar Hacker News

  • Dari tiket Phabricator yang dipublikasikan, terlihat bahwa seorang insinyur keamanan di Wikimedia Foundation memuat skrip pengguna acak untuk pengujian
    Salah satunya ternyata adalah skrip ruwiki berbahaya berusia 2 tahun, dan skrip ini menyuntikkan dirinya ke JS global lalu menyebar cepat sambil menimbulkan kerusakan
    Pada akhirnya situasinya cukup parah hingga seluruh wiki dialihkan ke mode baca saja

    • Fakta bahwa yang melakukan kesalahan ini adalah seorang insinyur keamanan terasa sangat mengejutkan
    • Awalnya dikira ada penyerang aktif saat ini, tetapi setelah diketahui bahwa ini adalah skrip berbahaya lama, penyelesaiannya jadi lebih sederhana
      Cukup gunakan regex untuk mendeteksi skrip tersebut, lalu kembalikan halaman yang terinfeksi ke versi sebelumnya
    • Ini hampir terlihat seperti kasus Samy worm
    • Sulit dipercaya organisasi bernilai 300 juta dolar bisa melakukan kesalahan seperti ini
    • Rasanya seperti sempat ada percakapan seperti, “Claude, skripmu mengeksekusi malware!” “Iya, maaf!”

  • Cara kerja worm ini cukup menarik
    Ia menyuntikkan dirinya ke Common.js dan User:Common.js milik MediaWiki untuk mempertahankan infeksi global, lalu menyembunyikan jejak infeksi dengan jQuery
    Ia merusak 20 dokumen acak, dan jika berhasil menginfeksi akun admin, ia menghapus dokumen lewat fitur Special:Nuke

    • Motivasinya tampak sekadar kenakalan tingkat “lihat seberapa besar kekacauan yang bisa saya buat”
    • Domain basemetrika.ru tidak ada. Respons yang kembali adalah NXDomain
    • Kelihatannya mencoba melakukan XSS, tetapi sebenarnya kode yang tidak efektif, jadi pemuatan eksternal tidak benar-benar terjadi
    • Ada yang merasa worm secanggih ini mungkin dirancang oleh AI

  • Ada komentar bahwa karena database itu sendiri menjadi medium infeksi, proses pembersihannya akan menjadi mimpi buruk forensik digital
    Namun ini bukan sampai menembus hak akses root, jadi kalau ada backup tampaknya tetap bisa dipulihkan

    • Meski beberapa hari edit hilang, dalam skala Wikipedia secara keseluruhan itu masih bisa ditoleransi
    • Pada praktiknya ini ditangani bukan dengan rollback DB, melainkan dengan alat revert wiki biasa, dan yang terdampak hanya situs Meta, bukan inti Wikipedia

  • Menurut investigasi di komunitas wiki Rusia, tampaknya kode yang dipakai dalam serangan vandalisme terhadap wiki alternatif berbahasa Rusia pada 2023 dipakai lagi kali ini
    Skripnya adalah test.js buatan pengguna ruwiki Ololoshka562,
    dan diperkirakan skrip itu dieksekusi saat staf WMF sbassett memuatnya ketika melakukan pengujian

    • Tahun lalu pun ruwiki pernah mengalami perusakan massal dengan cara serupa

  • Ini terlihat seperti worm XSS model lama
    Sudah lama ada anggapan bahwa struktur MediaWiki yang mengizinkan pengguna menyisipkan JavaScript itu berbahaya

    • Yang mengejutkan adalah XSS seperti ini belum digunakan untuk serangan seperti pencurian kata sandi
      Kalau memanfaatkan celah autofill browser seperti di tulisan ini, dampaknya pasti jauh lebih serius

  • Sekalipun ada yang tidak suka pada Wikipedia, itu tetap tidak membenarkan pelecehan atau stalking dengan menjadikan insiden ini sebagai alasan

  • Menurut teman yang merupakan editor wiki, insiden ini terlihat seperti peretasan cross-site scripting (XSS)
    Kode yang bermula dari halaman pengguna di wiki Rusia menyebar lewat common.js di Meta,
    dan para operator terlihat melakukan revert manual di halaman Recent Changes

    • Ini memang tampak seperti “serangan dari Rusia”, tetapi memalsukan asal-usul seperti itu sangat mudah
    • Namun ada juga yang menilai kode ini kemungkinan besar adalah varian dari alat peretasan Rusia lama bernama “woodpecker

  • Ada konteks tambahan di forum Wikipediocracy,
    diskusi Village Pump,
    dan megathread Reddit
    Payload yang dipermasalahkan bisa dilihat di tautan ini

    • Versi Web Archive aman untuk dilihat
    • Beberapa tautan tidak bisa dibuka karena keterbatasan hak akses

  • Sebenarnya kejadian seperti ini hanya soal waktu
    Wikipedia dinilai terlalu ceroboh terhadap keamanan
    Hanya dengan hak “interface administrator”, seseorang bisa mengubah JS/CSS global, dan 2FA pun baru diterapkan belakangan
    Selain itu banyak pengguna memakai skrip pengguna yang belum terverifikasi
    Struktur seperti ini sendiri sudah merupakan mimpi buruk keamanan, dan kemungkinan itulah alasan skrip pengguna kini dinonaktifkan secara global

    • Dulu bahkan halaman utama pernah terhapus (tautan)
    • Saat ini ada sekitar 137 interface administrator, dan sebagian besar adalah staf Wikimedia sehingga setidaknya merupakan personel yang telah diverifikasi
    • Karena internet makin menjadi lingkungan yang bermusuhan, terasa perlu ada donasi atau dukungan teknis untuk menyelesaikan masalah seperti ini
    • Skrip pengguna lewat ekstensi browser (TamperMonkey dan sejenisnya) masih tetap ada, jadi pemblokiran total tidak mungkin
    • Di Wikipedia bahasa Inggris sendiri, hanya 15 interface administrator yang benar-benar aktif (rujukan)

  • Kini muncul juga candaan bahwa karena AI sudah mengeruk seluruh Wikipedia, tidak ada lagi yang benar-benar memakai Wikipedia secara langsung