Pi-hole expõe vazamento de dados de doadores por falha de segurança

Pi-hole Revela Incidente de Segurança em E-mails de Doadores

O Pi-hole revelou uma vulnerabilidade de segurança que expôs os endereços de e-mail de doadores devido a uma falha em seu sistema de doações baseado no WordPress. O projeto de filtro DNS de código aberto confirmou que nomes e endereços de e-mail fornecidos durante as doações estavam publicamente acessíveis no código-fonte das páginas web.

Quais Informações Foram Comprometidas

A falha envolveu apenas nomes e endereços de e-mail enviados através do formulário de doação do Pi-hole. As informações financeiras permaneceram seguras, pois o processamento de pagamentos é tratado externamente pelo Stripe e PayPal. O produto Pi-hole em si não foi afetado por este incidente.

Cronologia da Descoberta

Em 28 de julho de 2025, o Pi-hole recebeu relatos de doadores sobre e-mails suspeitos. A equipe rastreou o problema até um plugin da página de doações após usuários relatarem que as informações dos doadores estavam visíveis através de simples ações de 'visualizar código-fonte da página'. Postagens no Reddit e discussões no fórum Discourse ajudaram a identificar o problema.

Vulnerabilidade do Plugin Identificada

A falha de segurança estava no GiveWP, um plugin de doações para WordPress. A versão 4.6.1 incluía uma correção crítica para 'visibilidade das informações do doador'. Um problema arquivado no GitHub mostrou que a vulnerabilidade permitia acesso público aos dados de doação através da inspeção do código-fonte da página.

Resposta e Responsabilidade

O Pi-hole expressou decepção com a abordagem da correção de segurança e o cronograma de comunicação do GiveWP. Embora a correção tenha sido lançada horas após o relatório, a notificação oficial foi atrasada. O Pi-hole assumiu total responsabilidade pelo incidente e pediu desculpas aos doadores afetados, enfatizando seu compromisso em restaurar a confiança.