O Pi-Hole, um popular bloqueador de anúncios em nível de rede, divulgou que os nomes de doadores e endereços de email foram expostos por meio de uma vulnerabilidade de segurança no plug-in Dissewp WordPress de doação.
O Pi-Hole atua como um poço de DNS, filtrando o conteúdo indesejado antes de atingir os dispositivos dos usuários. Embora inicialmente projetado para ser executado em computadores de placa única Raspberry Pi, agora suporta vários sistemas Linux em hardware dedicado ou máquinas virtuais.
A organização afirmou que soube do incidente na segunda -feira, 28 de julho, depois dos doadores começou a relatar que eles estavam recebendo e -mails suspeitos em endereços usados exclusivamente para doações.
Conforme explicado em um Sexta-feira post-mortema violação afetou os usuários que doaram através do formulário de doação do site de buracos PI para apoiar o desenvolvimento, expondo informações pessoais que eram visíveis a qualquer pessoa que visualizasse o código-fonte da página da web devido a uma falha de segurança do GiveWP.
A vulnerabilidade Resultado do GiveWP, um plug-in do WordPress usado para processar doações no site do buraco PI. O plug -in inadvertidamente tornou as informações do doador acessíveis publicamente sem exigir autenticação ou privilégios de acesso especial.
Embora o Pi-Hole não tenha divulgado o número de clientes afetados, o Serviço de Notificação de Breatha de Dados ‘Fui pwned’ adicionou a violação do buraco do Pi, dizendo que isso impactou quase 30.000 doadores, com 73% dos registros expostos já em seu banco de dados.
Pi-Hole disse. “Também é importante observar que Pi-burro O produto não é categoricamente o assunto dessa violação. Não há ação necessária dos usuários com um buraco PI instalado em sua rede”.
Embora a GiveWP tenha divulgado um patch poucas horas após a vulnerabilidade relatada no Github, o Pi-Hole criticou a resposta do desenvolvedor de plug-in, citando um atraso de 17,5 horas antes de notificar os usuários e o que descreveu como reconhecimento insuficiente do impacto potencial da falha de segurança nos nomes de doadores e endereços de email.
O Pi-Hole pediu desculpas aos doadores afetados e reconheceu a reputação potencial de danos decorrentes desse incidente de segurança, dizendo que, embora a vulnerabilidade fosse imprevisível, eles aceitam a responsabilidade pela violação de dados resultantes.
“Os nomes e endereços de email de qualquer pessoa que já houve doações através de nossa página de doação estava lá para o mundo inteiro ver (desde que fossem mais experientes para clicar com o botão direito do mouse).
“Assumimos total responsabilidade pelo software que implantamos. Depremos nossa confiança em um plug-in amplamente usado, e essa confiança foi quebrada”.
