E-mailadressen van alle 30.000 Pi-Hole-donateurs gestolen via WordPress-plug-in

In dit artikel:

De adblockersoftware Pi-Hole meldt dat de namen en e-mailadressen van ongeveer 30.000 donateurs zijn gestolen via een beveiligingslek in de WordPress-plug-in GiveWP, die voor donatiebeheer op hun website wordt gebruikt. Hoewel de betaalgegevens buiten schot zijn gebleven, doordat deze via externe betaalproviders worden verwerkt, zijn de persoonlijke gegevens van donateurs openbaar geworden. De ontwikkelaars van Pi-Hole wijzen naar GiveWP als de oorzaak van het datalek en bekritiseren de manier waarop de plug-inontwikkelaars reageerden: er zat volgens hen een vertraging van 17,5 uur tussen de melding van het probleem en de oplossing, terwijl GiveWP het lek aanvankelijk bagatelliseerde.

GiveWP verklaart dat het lek is veroorzaakt door de overgang naar React en het gebruik van de WordPress REST-API, waardoor oude en nieuwe code niet goed waren geïntegreerd. Hoewel dit ondanks kwaliteitscontroles ontbrak, benadrukken zij dat er geen bewijs is van daadwerkelijke misbruik in de praktijk. Pi-Hole vindt deze reactie onvoldoende verantwoord. Verder is onduidelijk of GiveWP van plan is andere websites die deze plug-in gebruiken actief te informeren over het lek. Met meer dan 100.000 installaties op WordPress-sites is het mogelijk dat nog veel meer donateurs gevaar liepen. De identiteit van de daders achter de datadiefstal blijft onbekend.