Scroll untuk baca artikel
Networking

Pi-hole mengungkapkan pelanggaran data yang dipicu oleh cacat plugin WordPress

63
×

Pi-hole mengungkapkan pelanggaran data yang dipicu oleh cacat plugin WordPress

Share this article
pi-hole-mengungkapkan-pelanggaran-data-yang-dipicu-oleh-cacat-plugin-wordpress
Pi-hole mengungkapkan pelanggaran data yang dipicu oleh cacat plugin WordPress

Pi-hole

Pi-hole, blocker iklan tingkat jaringan yang populer, telah mengungkapkan bahwa nama donor dan alamat email diekspos melalui kerentanan keamanan di plugin donasi WordPress GiveWP.

Example 300x600

Pi-hole bertindak sebagai lubang pembuangan DNS, menyaring konten yang tidak diinginkan sebelum mencapai perangkat pengguna. Sementara awalnya dirancang untuk berjalan di komputer papan tunggal Raspberry PI, sekarang mendukung berbagai sistem Linux pada perangkat keras atau mesin virtual khusus.

Organisasi itu menyatakan bahwa mereka pertama kali mengetahui insiden itu pada hari Senin, 28 Juli, setelah donor mulai melaporkan bahwa mereka menerima email yang mencurigakan di alamat yang digunakan secara eksklusif untuk sumbangan.

Seperti yang dijelaskan dalam a Jumat post-mortempengguna yang terkena dampak pelanggaran yang menyumbang melalui formulir donasi situs web pi-hole untuk mendukung pengembangan, mengekspos informasi pribadi yang terlihat oleh siapa saja yang melihat kode sumber halaman web karena cacat keamanan GIWP.

Kerentanan Berasal dari GiveWP, plugin WordPress yang digunakan untuk memproses sumbangan di situs web pi-hole. Plugin secara tidak sengaja membuat informasi donor dapat diakses secara publik tanpa memerlukan otentikasi atau hak akses khusus.

Sementara pi-hole tidak mengungkapkan jumlah pelanggan yang terkena dampak, layanan pemberitahuan pelanggaran data ‘telah saya pwned’ menambahkan pelanggaran pi-hole, dengan mengatakan bahwa itu berdampak hampir 30.000 donor, dengan 73% dari catatan yang sudah terpapar yang sudah ada dalam databasinya.

https://bsky.app/profile/haveibeenpwned.com/post/3lvca3viu322x

Tidak ada informasi keuangan yang terpapar

Pi-hole menambahkan bahwa tidak ada data keuangan donor yang dikompromikan, karena informasi kartu kredit dan rincian pembayaran lainnya ditangani langsung oleh Stripe dan PayPal. Ini juga mengklarifikasi bahwa produk perangkat lunak pi-hole itu sendiri tidak terpengaruh dengan cara apa pun.

“Kami menjelaskan dalam formulir donasi bahwa kami bahkan tidak memerlukan nama atau alamat email yang valid, murni bagi pengguna untuk melihat dan mengelola donasi mereka,” Kata pi-hole. “Penting juga untuk dicatat bahwa pi-hole produk secara kategoris bukan subjek dari pelanggaran ini. Tidak ada tindakan yang diperlukan dari pengguna dengan pi-hole yang diinstal di jaringan mereka.”

Meskipun GiveWP merilis tambalan dalam beberapa jam setelah kerentanan dilaporkan pada GitHub, Pi-Hole mengkritik respons pengembang plugin, mengutip penundaan 17,5 jam sebelum memberi tahu pengguna dan apa yang digambarkan sebagai pengakuan yang tidak memadai tentang dampak potensi cacat keamanan pada nama donor dan alamat email.

Pi-hole meminta maaf kepada donor yang terkena dampak dan mengakui potensi kerusakan reputasi yang berasal dari insiden keamanan ini, dengan mengatakan bahwa sementara kerentanan tidak terduga, mereka menerima akuntabilitas atas pelanggaran data yang dihasilkan.

“Nama-nama dan alamat email siapa pun yang pernah menyumbang melalui halaman donasi kami ada di sana untuk dilihat oleh seluruh dunia (asalkan mereka cukup cerdas untuk klik kanan-> Sumber halaman View). Dalam beberapa jam dari laporan ini, mereka telah menambal kode buruk dan merilis 4.6.1,” tambah Pi-Hole dalam sebuah posting blog yang menganalisis insiden tersebut.

“Kami bertanggung jawab penuh atas perangkat lunak yang kami gunakan. Kami menempatkan kepercayaan kami pada plugin yang banyak digunakan, dan kepercayaan itu rusak.”