Jump to content

Справка:Скомпрометированные учётные записи

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page Help:Compromised accounts and the translation is 95% complete.
Эта страница объясняет общую процедуру, которой следует придерживаться при работе с учётными записями, которые могут быть скомпрометированы.

Compromised accounts are user accounts that have been maliciously taken over by someone other than the rightful owner. This is often achieved through a phishing attack, a weak password, or a security breach.

Порядок действий в отношении учётных записей, подозреваемых в компрометации, не всегда очевиден и зависит от обстоятельств каждого конкретного случая. На него сильно влияет то, кто первым отреагирует на такое обращение, и кто первым сможет принять меры. Приведённый ниже текст является своеобразной инструкцией, которая пошагово объясняет, что делать в таких ситуациях.

Изучение фактов

Первый шаг — определить, действительно ли учётная запись была скомпрометирована. Если с неё совершаются деструктивные действия, этот шаг можно пропустить, поскольку основной целью в таких случаях является защита вики-проекта. Но если аккаунт не прибегает к вандализму, тогда следует посмотреть на его прошлые правки, прежде чем делать предположение о компрометации. Редактирует ли такая учётная запись типичные для себя темы? Есть ли в истории её вклада другие похожие правки, которые вызывали подозрения в получении к ней доступа посторонними лицами?

Сообщение о ситуации

Если у вас есть обоснованное подозрение, что аккаунт действительно скомпрометирован, лучше обратиться с этой информацией к кому-то, кто имеет техническую возможность принять необходимые меры, чтобы остановить деструктивные действия с такого аккаунта и вернуть его владельцу. В таких ситуациях лучше обращаться к следующим группам участников:

  • Стюардам, которые могут отключить учётную запись, чтобы предотвратить изменение пароля и адреса электронной почты, а также любые другие действия с неё. Стюарды также могут лишать такие учётные записи дополнительных технических прав в случае необходимости, однако к этому обычно не прибегают, если учётная запись уже была отключена.
  • Отделу по доверию и безопасности ФВМ (T&S), который может провести дополнительное расследование, используя инструменты проверки участников или обратившись к системным администраторам для проверки истории входов в систему из такой учётной записи.
  • Локальным чекьюзерам, которые могут подтвердить, использовался ли для доступа к аккаунту какой-то нетипичный для него IP-адрес.
  • Локальным администраторам, которые могут заблокировать учётную запись, если она совершает деструктивные действия. Обратите внимание, что в таких случаях отключение глобальной учётной записи предпочтительнее любым локальным блокировкам, поскольку оно сбрасывает все активные сессии и предотвращает возможность войти в учётную запись во всех проектах, где она существует.

Каждая из перечисленных групп в конечном итоге будет связываться с другими в ходе этого процесса либо для подтверждения, либо для выполнения каких-либо локальных действий после того, как непосредственная опасность будет устранена. Скомпрометированная учётная запись может быть лишена расширенных технических прав даже после этого, если будет обоснованное подозрение, что злоумышленники всё ещё пытаются получить к ней доступ.

Восстановление доступа

После отключения скомпрометированного аккаунта стюардами дело обычно передаётся в Отдел доверия и безопасности для проведения расследования и, после установления контакта с законным владельцем аккаунта, возвращения им доступа к их аккаунту.

Последствия

По возвращении учётной записи её настоящему владельцу окончательное решение по ситуации будут принимать локальные сообщества, которым был причинён ущерб. Они могут предпринять дополнительные меры для предотвращения дальнейшего ущерба, и такими мерами могут быть даже лишение дополнительных технических прав или блокировка этого участника или участницы.