Pi-hole, um popular bloqueador de anúncios em nível de rede, divulgou que nomes de doadores e endereços de e-mail foram expostos através de uma vulnerabilidade de segurança no plugin de doações GiveWP para WordPress.
Pi-hole atua como um DNS sinkhole, filtrando conteúdo indesejado antes que ele chegue aos dispositivos dos usuários.
Embora inicialmente projetado para funcionar em computadores Raspberry Pi de placa única, agora suporta vários sistemas Linux em hardware dedicado ou máquinas virtuais.
A organização declarou que soube do incidente na segunda-feira, 28 de julho, depois que doadores começaram a relatar que estavam recebendo e-mails suspeitos em endereços usados exclusivamente para doações.
Conforme explicado em uma post-mortem na sexta-feira, a violação afetou usuários que doaram por meio do formulário de doação no site do Pi-hole para apoiar o desenvolvimento, expondo informações pessoais que estavam visíveis para qualquer um que visualizasse o código-fonte da página web devido a uma falha de segurança do GiveWP.
A vulnerabilidade originou-se no GiveWP, um plugin do WordPress usado para processar doações no site do Pi-hole.
O plugin inadvertidamente tornou as informações do doador publicamente acessíveis sem exigir autenticação ou privilégios de acesso especiais.
Embora o Pi-hole não tenha divulgado o número de clientes afetados, o serviço de notificação de violação de dados 'Have I Been Pwned' adicionou a violação do Pi-hole, dizendo que ela impactou quase 30.000 doadores, com 73% dos registros expostos já em seu banco de dados.
Pi-hole acrescentou que nenhum dado financeiro do doador foi comprometido, já que informações de cartão de crédito e outros detalhes de pagamento são tratados diretamente pelo Stripe e PayPal.
Também esclareceu que o produto de software Pi-hole em si não foi afetado de forma alguma.
"Deixamos claro no formulário de doação que nem mesmo exigimos um nome ou endereço de e-mail válido; é puramente para os usuários verem e gerenciarem suas doações", disse Pi-hole.
Também é importante notar que o produto Pi-hole categoricamente não é o objeto desta violação.
Não é necessária nenhuma ação por parte dos usuários com um Pi-hole instalado em sua rede.
Embora o GiveWP tenha lançado uma correção dentro de horas após a vulnerabilidade ser reportada no GitHub, o Pi-hole criticou a resposta do desenvolvedor do plugin, citando um atraso de 17,5 horas antes de notificar os usuários e o que descreveu como reconhecimento insuficiente do impacto potencial da falha de segurança nos nomes e endereços de e-mail dos doadores.
Pi-hole pediu desculpas aos doadores afetados e reconheceu potencial dano à reputação decorrente deste incidente de segurança, dizendo que, embora a vulnerabilidade fosse imprevisível, aceita responsabilidade pela violação de dados resultante.
"Os nomes e endereços de e-mail de qualquer pessoa que já doou por meio de nossa página de doações estavam lá para o mundo inteiro ver (desde que fossem espertos o suficiente para clicar com o botão direito->Ver fonte da página).
Dentro de algumas horas após este relatório, eles corrigiram o código defeituoso e lançaram a versão 4.6.1", Pi-hole adicionou em uma postagem de blog analisando o incidente.
Assumimos total responsabilidade pelo software que implantamos.
Depositamos nossa confiança em um plugin amplamente utilizado, e essa confiança foi quebrada.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...