Справка:Скомпрометированные учётные записи

Об этой странице вкратце: Пожалуйста, напишите на cawikimedia.org, если вы не можете войти в систему из-за того, что ваша учётная запись оказалась скомпрометированной.

Порядок действий в отношении учётных записей, подозреваемых в компрометации, не всегда очевиден и зависит от обстоятельств каждого конкретного случая. На него сильно влияет то, кто первым отреагирует на такое обращение, и кто первым сможет принять меры. Приведённый ниже текст является своеобразной инструкцией, которая пошагово объясняет, что делать в таких ситуациях.

Первый шаг — определить, действительно ли учётная запись была скомпрометирована. Если с неё совершаются деструктивные действия, этот шаг можно пропустить, поскольку основной целью в таких случаях является защита вики-проекта. Но если аккаунт не прибегает к вандализму, тогда следует посмотреть на его прошлые правки, прежде чем делать предположение о компрометации. Редактирует ли такая учётная запись типичные для себя темы? Есть ли в истории её вклада другие похожие правки, которые вызывали подозрения в получении к ней доступа посторонними лицами?

Если у вас есть обоснованное подозрение, что аккаунт действительно скомпрометирован, лучше обратиться с этой информацией к кому-то, кто имеет техническую возможность принять необходимые меры, чтобы остановить деструктивные действия с такого аккаунта и вернуть его владельцу. В таких ситуациях лучше обращаться к следующим группам участников:

• Стюардам, которые могут отключить учётную запись, чтобы предотвратить изменение пароля и адреса электронной почты, а также любые другие действия с неё. Стюарды также могут лишать такие учётные записи дополнительных технических прав в случае необходимости, однако к этому обычно не прибегают, если учётная запись уже была отключена.
• Отделу по доверию и безопасности ФВМ (T&S), который может провести дополнительное расследование, используя инструменты проверки участников или обратившись к системным администраторам для проверки истории входов в систему из такой учётной записи.
• Локальным чекьюзерам, которые могут подтвердить, использовался ли для доступа к аккаунту какой-то нетипичный для него IP-адрес.
• Локальным администраторам, которые могут заблокировать учётную запись, если она совершает деструктивные действия. Обратите внимание, что в таких случаях отключение глобальной учётной записи предпочтительнее любым локальным блокировкам, поскольку оно сбрасывает все активные сессии и предотвращает возможность войти в учётную запись во всех проектах, где она существует.

Каждая из перечисленных групп в конечном итоге будет связываться с другими в ходе этого процесса либо для подтверждения, либо для выполнения каких-либо локальных действий после того, как непосредственная опасность будет устранена. Скомпрометированная учётная запись может быть лишена расширенных технических прав даже после этого, если будет обоснованное подозрение, что злоумышленники всё ещё пытаются получить к ней доступ.

После отключения скомпрометированного аккаунта стюардами дело обычно передаётся в Отдел доверия и безопасности для проведения расследования и, после установления контакта с законным владельцем аккаунта, возвращения им доступа к их аккаунту.

По возвращении учётной записи её настоящему владельцу окончательное решение по ситуации будут принимать локальные сообщества, которым был причинён ущерб. Они могут предпринять дополнительные меры для предотвращения дальнейшего ущерба, и такими мерами могут быть даже лишение дополнительных технических прав или блокировка этого участника или участницы.