Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
Разработчики популярного блокировщика рекламы Pi-hole , что имена и email-адреса всех, кто жертвовал средства проекту, оказались в открытом доступе из-за бага в плагине GiveWP для WordPress.
Pi-hole работает на уровне DNS и синкхолит нежелательный контент до того, как он доберется до устройств пользователей. Изначально инструмент был предназначен для одноплатников Raspberry Pi, однако теперь поддерживает различные Linux-системы, как на выделенном оборудовании, так и на виртуальных машинах.
По словам разработчиков, они узнали о проблеме в понедельник, 28 июля 2025 года, когда на подозрительные письма, приходящие на адреса, которые они использовали только для пожертвований Pi-hole.
Как выяснилось, утечка затронула пользователей, которые когда-либо жертвовали средства проекту через форму на сайте Pi-hole. Из-за уязвимости в плагине GiveWP, который использовался для сбора средств, их персональные данные мог увидеть любой желающий, просто открыв исходный код страницы (без авторизации и каких-либо специальных инструментов).
Хотя в Pi-hole не назвали точное число пострадавших, агрегатор информации об утечках Have I Been Pwned уже добавил инцидент в свою базу, , что проблема затронула почти 30 000 человек.
В своем сообщении разработчики подчеркнули, что финансовая информация пользователей (например, данные банковских карт) не пострадала, поскольку все платежи обрабатывались напрямую через Stripe и PayPal. Также уточняется, что утечка не касается самого инструмента Pi-hole.
Хотя создатели GiveWP выпустили патч спустя несколько часов после публикации , в Pi-hole раскритиковали разработчиков плагина за то, что они уведомили пользователей о проблеме только спустя 17,5 часов, а также «недостаточно серьезно отнеслись» к потенциальным последствиям этой уязвимости.