Pi-hole допустил утечку данных из-за уязвимости в плагине для WordPress
Хакер #315. Positive Hack Days Fest 3
Разработчики популярного блокировщика рекламы Pi-hole предупредили, что имена и email-адреса всех, кто жертвовал средства проекту, оказались в открытом доступе из-за бага в плагине GiveWP для WordPress.
Pi-hole работает на уровне DNS и синкхолит нежелательный контент до того, как он доберется до устройств пользователей. Изначально инструмент был предназначен для одноплатников Raspberry Pi, однако теперь поддерживает различные Linux-системы, как на выделенном оборудовании, так и на виртуальных машинах.
По словам разработчиков, они узнали о проблеме в понедельник, 28 июля 2025 года, когда пользователи начали жаловаться на подозрительные письма, приходящие на адреса, которые они использовали только для пожертвований Pi-hole.
Как выяснилось, утечка затронула пользователей, которые когда-либо жертвовали средства проекту через форму на сайте Pi-hole. Из-за уязвимости в плагине GiveWP, который использовался для сбора средств, их персональные данные мог увидеть любой желающий, просто открыв исходный код страницы (без авторизации и каких-либо специальных инструментов).
Хотя в Pi-hole не назвали точное число пострадавших, агрегатор информации об утечках Have I Been Pwned уже добавил инцидент в свою базу, указав, что проблема затронула почти 30 000 человек.
В своем сообщении разработчики подчеркнули, что финансовая информация пользователей (например, данные банковских карт) не пострадала, поскольку все платежи обрабатывались напрямую через Stripe и PayPal. Также уточняется, что утечка не касается самого инструмента Pi-hole.
«В форме для пожертвований мы прямо указываем, что от пользователей не требуется указывать даже настоящее имя или email. Эти данные нужны исключительно для того, чтобы человек мог потом управлять своими пожертвованиями, — говорится в заявлении разработчиков. — Важно отметить: продукт Pi-hole никак не затронут этим инцидентом. Пользователям, у которых он установлен, не нужно ничего предпринимать».
Хотя создатели GiveWP выпустили патч спустя несколько часов после публикации информации о баге на GitHub, в Pi-hole раскритиковали разработчиков плагина за то, что они уведомили пользователей о проблеме только спустя 17,5 часов, а также «недостаточно серьезно отнеслись» к потенциальным последствиям этой уязвимости.
«Мы берем на себя полную ответственность за ПО, которое используем. Мы доверились широко распространенному плагину, и это доверие оказалось подорвано», — заключают авторы Pi-hole.