Pi-hole Divulgue un Incident de Sécurité des Emails Donateurs
Pi-hole a révélé une faille de sécurité ayant exposé les adresses e-mail des donateurs via une vulnérabilité dans leur système de dons WordPress. Le projet de filtrage DNS open-source a confirmé que les noms et adresses e-mail fournis lors des dons étaient accessibles publiquement dans le code source des pages web.
Informations Compromises
La fuite n'a affecté que les noms et adresses e-mail soumis via le formulaire de don de Pi-hole. Les informations financières sont restées sécurisées car le traitement des paiements est géré en externe par Stripe et PayPal. Le produit Pi-hole lui-même n'est pas affecté par cet incident.
Chronologie de la Découverte
Le 28 juillet 2025, Pi-hole a commencé à recevoir des signalements de donateurs concernant des e-mails suspects. L'équipe a retracé le problème jusqu'à leur plugin de page de don après que des utilisateurs ont signalé que les informations des donateurs étaient exposées via de simples actions 'afficher la source de la page'. Des publications Reddit et des discussions sur le forum Discourse ont aidé à identifier le problème.
Vulnérabilité du Plugin Identifiée
La faille de sécurité existait dans GiveWP, un plugin de don WordPress. La version 4.6.1 contenait un correctif critique pour la 'visibilité des informations des donateurs'. Un problème GitHub archivé montre que la vulnérabilité permettait un accès public aux données des donateurs via l'inspection du code source.
Réponse et Responsabilité
Pi-hole a exprimé sa déception quant à la gestion du correctif de sécurité et du calendrier de communication par GiveWP. Bien que le correctif ait été publié quelques heures après le rapport, la notification officielle a été retardée. Pi-hole a assumé l'entière responsabilité de l'incident et présenté ses excuses aux donateurs concernés, soulignant son engagement à rétablir la confiance.