5 months ago
6
Datenverlust in der die Pi-Hole-Community. Die Entwickler der bekannten Werbeblocker-und-mehr-Software mussten einräumen, dass Namen und E-Mail-Adressen von mindestens 30.000 Unterstützern durch eine Sicherheitslücke im WordPress-Plugin GiveWP abgegriffen wurden. Die Schwachstelle ermöglichte es Angreifern, Spenderinformationen über einen einfachen Code-Schnipsel zu extrahieren. Die Verantwortlichen von Pi-Hole veröffentlichten einen Blogbeitrag, in dem sie den Vorfall transparent machen. Während Zahlungsinformationen durch die separate Verarbeitung bei externen Zahlungsdienstleistern nicht betroffen sind, wurden sämtliche Spenderdaten seit Projektbeginn kompromittiert. Der Verursacher des Datendiebstahls ist bislang unbekannt.
Das WordPress-Plugin GiveWP, das mehr als 100.000 Installationen verzeichnet, reagierte zunächst mit Zurückhaltung auf die Vorwürfe. Die Entwickler des Plugins benötigten dann rund einen Tag von der ersten Meldung bis zur Behebung der Sicherheitslücke. Die Schwachstelle entstand nach Angaben eines GiveWP-Entwicklers durch die Migration von Legacy-Code zu React und der WordPress REST-API. Die Kommunikation von GiveWP stößt bei den Pi-Hole-Entwicklern auf Kritik. Während ein GiveWP-Mitarbeiter den Vorfall als menschlichen Fehler trotz Qualitätskontrolle bezeichnet, behauptet ein weiterer Entwickler, es habe keine praktische Ausnutzung der Schwachstelle gegeben. GiveWP informierte über seine Social-Media-Kanäle, doch bleibt unklar, ob andere betroffene Websites und deren Spender benachrichtigt wurden.
Die Pi-Hole-Entwickler werfen GiveWP vor, die Tragweite des Vorfalls zu unterschätzen. Ein bereits vor der Entdeckung veröffentlichtes GitHub-Issue hatte die Schwachstelle dokumentiert, wurde jedoch zunächst nicht ernst genommen. Der Vorfall unterstreicht die Bedeutung sorgfältiger Sicherheitsüberprüfungen bei der Entwicklung von WordPress-Plugins, die sensitive Nutzerdaten verarbeiten.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
