كشفت Pi-Hole ، وهي حاصرات إعلانات شائعة على مستوى الشبكة ، أن أسماء المانحين وعناوين البريد الإلكتروني قد تعرضت من خلال ثغرة أمنية في البرنامج المساعد لـ GiveWp WordPress.
يعمل Pi-Hole كحوض DNS ، ويقوم بتصفية المحتوى غير المرغوب فيه قبل أن يصل إلى أجهزة المستخدمين. بينما تم تصميمها في البداية لتشغيل أجهزة الكمبيوتر المفردة على متن Raspberry PI ، فإنها تدعم الآن أنظمة Linux المختلفة على أجهزة مخصصة أو الأجهزة الظاهرية.
ذكرت المنظمة أنهم علموا لأول مرة بالحادث يوم الاثنين 28 يوليو ، بعد المانحين”https://www.reddit.com/r/pihole/comments/1mbks5z/pihole_donation_email_recipient_list_leaked/” الهدف=”_blank” rel=”nofollow noopener”> بدأ الإبلاغ أنهم كانوا يتلقون رسائل بريد إلكتروني مشبوهة في”https://www.reddit.com/r/pihole/comments/1mblu68/spam_coming_to_me_from_email_only_used_with/” الهدف=”_blank” rel=”nofollow noopener”> العناوين المستخدمة حصريًا للتبرعات.
كما هو موضح في أ”http://pi-hole.net/blog/2025/07/30/compromised-donor-emails-a-post-mortem/” الهدف=”_blank” rel=”nofollow noopener”> الجمعة بعد الوفاة، أثر الخرق على المستخدمين الذين تبرعوا من خلال نموذج التبرع الخاص بموقع PI-HOLE لدعم التطوير ، وفضح المعلومات الشخصية التي كانت مرئية لأي شخص شاهد رمز مصدر صفحة الويب بسبب عيب أمان GiveWP.
الضعف تنبع من GiveWP ، وهو مكون إضافي WordPress يستخدم لمعالجة التبرعات على موقع PI-HOLE. قام المكون الإضافي بتصميم معلومات مانحة للجمهور يمكن الوصول إليه بشكل عام دون الحاجة إلى مصادقة أو امتيازات وصول خاصة.
على الرغم من أن Pi-Hole لم يكشف عن عدد العملاء المتأثرين ، إلا أن خدمة إخطار “لقد تم pwned” أضافت خرق Pi-Hole ، قائلة إنها أثرت على ما يقرب من 30،000 متبرع ، مع 73 ٪ من السجلات المكشوفة بالفعل في قاعدة البيانات الخاصة بها.
لا توجد معلومات مالية مكشوفة
وأضاف Pi-Hole أنه لم يتم اختراق أي بيانات مالية مانحة ، حيث يتم التعامل مع معلومات بطاقة الائتمان وتفاصيل الدفع الأخرى مباشرة بواسطة Stripe و PayPal. كما أوضح أن منتج برنامج PI-Hole نفسه لم يتأثر بأي شكل من الأشكال.
“We make it clear in the donation form that we don’t even require a valid name or email address, it’s purely for users to see and manage their donations,” PI-HOLE قال. “It is also important to note that Pi-hole the product is categorically not the subject of this breach. There is no action needed from users with a Pi-hole installed on their network.”
على الرغم من أن GiveWP أصدرت تصحيحًا في غضون ساعات من الضعف الذي يتم الإبلاغ عنه على Github ، إلا أن PI-Hole انتقد استجابة مطور البرنامج المساعد ، مستشهداً بتأخير 17.5 ساعة قبل إخطار المستخدمين وما وصفه بأنه اعتراف غير كاف بتأثير عيب الأمن على أسماء المانحين وعناوين البريد الإلكتروني.
اعتذرت Pi-Hole للمانحين المتأثرين واعترف بأضرار سمعة محتملة ناتجة عن هذا الحادث الأمني ، قائلين إنه على الرغم من أن الضعف غير متوقع ، فإنهم يقبلون المساءلة عن خرق البيانات الناتج.
“The names and email addresses of anyone that had ever donated via our donation page was there for the entire world to see (provided they were savvy enough to right click->View page source). Within a couple of hours of this report, they had patched the bad code and released 4.6.1,” أضاف Pi-Hole في منشور مدونة تحليل الحادث.
“We take full responsibility for the software we deploy. We placed our trust in a widely-used plugin, and that trust was broken.”