Pi-hole Enthüllt Sicherheitsvorfall mit Spender-Emails
Pi-hole hat ein Sicherheitsleck aufgedeckt, bei dem Spender-E-Mail-Adressen durch eine Schwachstelle in ihrem WordPress-Spenden system offengelegt wurden. Das Open-Source-DNS-Filterprojekt bestätigte, dass Namen und E-Mail-Adressen, die während Spenden angegeben wurden, öffentlich im Quellcode von Webseiten zugänglich waren.
Welche Informationen Waren Betroffen
Das Leck betraf nur Namen und E-Mail-Adressen, die über das Spendenformular von Pi-hole übermittelt wurden. Finanzinformationen blieben sicher, da die Zahlungsabwicklung extern von Stripe und PayPal bearbeitet wird. Das Pi-hole-Produkt selbst bleibt von diesem Vorfall unberührt.
Zeitplan der Entdeckung
Am 28. Juli 2025 erhielt Pi-hole Berichte von Spendern über verdächtige E-Mails. Das Team führte das Problem auf ihr Spenden-Seiten-Plugin zurück, nachdem Benutzer meldeten, dass Spenderinformationen durch einfache 'Seitenquelle anzeigen'-Aktionen sichtbar waren. Reddit-Beiträge und Discourse-Forum-Diskussionen halfen, das Problem zu identifizieren.
Plugin-Schwachstelle Identifiziert
Die Sicherheitslücke bestand in GiveWP, einem WordPress-Spenden-Plugin. Version 4.6.1 enthielt einen kritischen Patch zur Behebung der 'Sichtbarkeit von Spenderinformationen'. Ein archiviertes GitHub-Problem zeigt, dass die Schwachstelle öffentlichen Zugriff auf Spenderdaten durch Quellcode-Inspektion ermöglichte.
Antwort und Verantwortung
Pi-hole äußerte Enttäuschung über den Umgang mit dem Sicherheitsfix und dem Kommunikationszeitplan durch GiveWP. Obwohl der Patch innerhalb von Stunden nach dem Bericht veröffentlicht wurde, war die offizielle Benachrichtigung verzögert. Pi-hole hat die volle Verantwortung für den Vorfall übernommen und sich bei betroffenen Spendern entschuldigt, wobei das Engagement zum Vertrauensaufbau betont wurde.