Gegevens 30.000 donateurs Pi-hole gestolen via lek in WordPress-plug-in

In dit artikel:

Onbekende aanvallers hebben persoonlijke gegevens, waaronder namen en e-mailadressen, van 30.000 donateurs van Pi-hole buitgemaakt. Pi-hole is software die advertenties op lokaal netwerkniveau blokkeert. Financiële gegevens zoals creditcardinformatie zijn volgens de ontwikkelaars niet gelekt, en het datalek heeft geen impact op de werking van het product zelf. Het lek werd ontdekt nadat gebruikers van Pi-hole ongewenste spam ontvingen op e-mailadressen die exclusief voor Pi-hole gebruikt worden. Nadere analyse wees uit dat een kwetsbaarheid in de WordPress-plug-in GiveWP, die donaties op websites mogelijk maakt, de bron was van het datalek. Deze kwetsbaarheid maakte het mogelijk dat accountinformatie van donateurs direct in de broncode van de donatiepagina’s zichtbaar was voor iedereen die deze pagina’s bezocht.

GiveWP, dat door meer dan honderdduizend websites wordt ingezet, bracht na meldingen van het lek bijna achttien uur later een update uit en gaf een waarschuwing af, wat volgens het Pi-hole-team teleurstellend langzaam was. Het Pi-hole-team heeft de gelekte e-mailadressen inmiddels gedeeld met de datalekzoekmachine Have I Been Pwned, zodat betrokkenen kunnen controleren of hun gegevens in andere lekken zijn gebruikt; 73 procent van deze adressen was daar al bekend. Ondertussen blijkt uit gegevens van WordPress.org dat meer dan tachtigduizend websites die GiveWP gebruiken de beveiligingsupdate nog niet hebben geïnstalleerd, waardoor zij en hun donateurs nog steeds risico lopen op datalekken. Deze situatie benadrukt het belang van tijdige updates en strikte beveiligingsmaatregelen bij het beheer van donatieplatforms.