Pi-hole Onthult Beveiligingsincident Donateur Emails
Pi-hole heeft een beveiligingslek onthuld waarbij donateurs e-mailadressen zijn blootgesteld door een kwetsbaarheid in hun WordPress donatiesysteem. Het open-source DNS-filterproject bevestigde dat namen en e-mailadressen die tijdens donaties zijn verstrekt, publiek toegankelijk waren in de broncode van webpagina's.
Welke Informatie Was Gecompromitteerd
Het lek betrof alleen namen en e-mailadressen die via het donatieformulier van Pi-hole waren ingediend. Financiële informatie bleef beveiligd omdat betalingsverwerking extern wordt afgehandeld door Stripe en PayPal. Het Pi-hole product zelf blijft onaangetast door dit incident.
Tijdlijn van Ontdekking
Op 28 juli 2025 ontving Pi-hole meldingen van donateurs over verdachte e-mails. Het team herleidde het probleem naar hun donatiepagina-plugin nadat gebruikers meldden dat donateurinformatie zichtbaar was via simpele 'paginabron bekijken'-acties. Reddit-posts en Discourse-forumdiscussies hielpen het probleem te identificeren.
Plugin Kwetsbaarheid Geïdentificeerd
Het beveiligingslek bevond zich in GiveWP, een WordPress-donatieplugin. Versie 4.6.1 bevatte een kritische patch voor 'zichtbaarheid donateurinformatie'. Een gearchiveerd GitHub-probleem toont aan dat de kwetsbaarheid publieke toegang tot donatiegegevens mogelijk maakte via inspectie van paginabroncode.
Reactie en Verantwoordelijkheid
Pi-hole uitte teleurstelling over de aanpak van de beveiligingsfix en communicatietijdlijn door GiveWP. Hoewel de patch binnen uren na het rapport werd uitgebracht, was de officiële melding vertraagd. Pi-hole heeft de volledige verantwoordelijkheid voor het incident genomen en excuses aangeboden aan getroffen donateurs, met nadruk op hun inzet om vertrouwen te herstellen.