Команда разработчиков широко известного DNS-блокировщика рекламы Pi-hole столкнулась с серьезным инцидентом информационной безопасности. Критическая уязвимость в WordPress плагине GiveWP привела к компрометации персональных данных почти 30 000 пользователей, которые когда-либо поддерживали проект финансовыми пожертвованиями.
Детали инцидента и механизм утечки данных
Проблема была обнаружена 28 июля 2025 года после поступления жалоб от пользователей на подозрительные электронные письма. Злоумышленники получили доступ к спискам адресов, которые донаторы использовали исключительно для взаимодействия с Pi-hole проектом, что сразу указало на источник утечки.
Техническая природа уязвимости оказалась особенно тревожной: персональные данные пользователей отображались в исходном коде веб-страницы без какой-либо авторизации или использования специализированных инструментов. Любой посетитель сайта мог получить доступ к именам и email-адресам доноров, просто воспользовавшись функцией «Просмотр исходного кода страницы» в браузере.
Масштаб воздействия и пострадавшие данные
Согласно информации от авторитетного сервиса мониторинга утечек Have I Been Pwned, инцидент затронул приблизительно 30 000 пользователей. Компрометированная информация включала полные имена и адреса электронной почты всех лиц, когда-либо совершавших пожертвования через официальную форму на сайте Pi-hole.
Разработчики подчеркивают, что финансовая информация пользователей осталась в безопасности благодаря использованию надежных платежных систем Stripe и PayPal для обработки всех транзакций. Сам программный продукт Pi-hole не был скомпрометирован, и пользователям не требуется предпринимать дополнительных мер защиты своих установок.
Реакция разработчиков и критика поставщика плагина
Команда Pi-hole выразила серьезную обеспокоенность качеством реагирования разработчиков GiveWP на критический инцидент безопасности. Несмотря на то, что патч был выпущен через несколько часов после публикации информации о баге на GitHub, уведомление пользователей последовало только через 17,5 часов после обнаружения проблемы.
Представители Pi-hole критически оценили подход команды GiveWP к управлению инцидентом, отметив недостаточно серьезное отношение к потенциальным последствиям утечки персональных данных. Это особенно важно в контексте современных требований к защите персональной информации и растущих киберугроз.
О технологии Pi-hole и ее значимости
Pi-hole представляет собой DNS-синкхол, который блокирует нежелательный контент на уровне сетевой инфраструктуры, предотвращая загрузку рекламы и вредоносных элементов до их попадания на устройства пользователей. Первоначально разработанный для одноплатных компьютеров Raspberry Pi, инструмент теперь поддерживает широкий спектр Linux-систем как на физическом, так и на виртуализированном оборудовании.
Принятие ответственности и извлеченные уроки
Команда Pi-hole продемонстрировала образцовый подход к управлению кризисом, приняв полную ответственность за использование скомпрометированного программного компонента. Разработчики честно признали, что их доверие к широко распространенному WordPress плагину оказалось неоправданным.
Данный инцидент подчеркивает критическую важность тщательного аудита всех компонентов программной экосистемы, включая сторонние плагины и библиотеки. Современные киберугрозы требуют от организаций не только защиты собственного кода, но и постоянного мониторинга безопасности всех используемых внешних решений. Этот случай служит напоминанием о том, что в цепи кибербезопасности каждое звено должно соответствовать самым высоким стандартам защиты.