Популярний DNS-блокувальник реклами Pi-hole став жертвою серйозного інциденту інформаційної безпеки через критичну вразливість у WordPress плагіні GiveWP. Унаслідок цього інциденту було скомпрометовано персональні дані майже 30 000 користувачів, які коли-небудь підтримували проект фінансовими пожертвуваннями.
Технічні деталі інциденту безпеки
Проблему було виявлено 28 липня 2025 року після надходження скарг від користувачів про підозрілі електронні листи. Зловмисники отримали доступ до списків email-адрес, які донатори використовували виключно для взаємодії з проектом Pi-hole, що одразу вказало на джерело витоку.
Особливо тривожною виявилася технічна природа вразливості: персональні дані користувачів відображалися у вихідному коді веб-сторінки без жодної авторизації. Будь-який відвідувач сайту міг отримати доступ до імен та email-адрес донорів, просто скориставшись функцією “Переглянути вихідний код сторінки” у браузері.
Масштаб впливу та скомпрометовані дані
За інформацією авторитетного сервісу моніторингу витоків Have I Been Pwned, інцидент торкнувся приблизно 30 000 користувачів. Скомпрометована інформація включала повні імена та адреси електронної пошти всіх осіб, які коли-небудь робили пожертвування через офіційну форму на сайті Pi-hole.
Розробники підкреслюють, що фінансова інформація користувачів залишилася у безпеці завдяки використанню надійних платіжних систем Stripe та PayPal для обробки всіх транзакцій. Сам програмний продукт Pi-hole не був скомпрометований, і користувачам не потрібно вживати додаткових заходів захисту своїх установок.
Реакція команди та критика постачальника плагіна
Команда Pi-hole висловила серйозне занепокоєння якістю реагування розробників GiveWP на критичний інцидент безпеки. Незважаючи на те, що патч було випущено через кілька годин після публікації інформації про баг на GitHub, сповіщення користувачів надійшло лише через 17,5 годин після виявлення проблеми.
Представники Pi-hole критично оцінили підхід команди GiveWP до управління інцидентом, відзначивши недостатньо серйозне ставлення до потенційних наслідків витоку персональних даних. Це особливо важливо в контексті сучасних вимог до захисту персональної інформації та зростаючих кіберзагроз.
Про технологію Pi-hole та її значущість
Pi-hole являє собою DNS-синкхол, який блокує небажаний контент на рівні мережевої інфраструктури, запобігаючи завантаженню реклами та шкідливих елементів до їх потрапляння на пристрої користувачів. Спочатку розроблений для одноплатних комп’ютерів Raspberry Pi, інструмент тепер підтримує широкий спектр Linux-систем як на фізичному, так і на віртуалізованому обладнанні.
Взяття відповідальності та уроки безпеки
Команда Pi-hole продемонструвала зразковий підхід до управління кризою, взявши повну відповідальність за використання скомпрометованого програмного компонента. Розробники чесно визнали, що їхня довіра до широко поширеного WordPress плагіна виявилася невиправданою.
Цей інцидент підкреслює критичну важливість ретельного аудиту всіх компонентів програмної екосистеми, включаючи сторонні плагіни та бібліотеки. Сучасні кіберзагрози вимагають від організацій не лише захисту власного коду, але й постійного моніторингу безпеки всіх використовуваних зовнішніх рішень. Цей випадок слугує нагадуванням про те, що в ланцюгу кібербезпеки кожна ланка повинна відповідати найвищим стандартам захисту.