Pi-Hole: 30.000 Spenderdaten durch WordPress-Plugin kompromittiert
von caschy | 8 Kommentare
Datenverlust in der die Pi-Hole-Community. Die Entwickler der bekannten Werbeblocker-und-mehr-Software mussten einräumen, dass Namen und E-Mail-Adressen von mindestens 30.000 Unterstützern durch eine Sicherheitslücke im WordPress-Plugin GiveWP abgegriffen wurden. Die Schwachstelle ermöglichte es Angreifern, Spenderinformationen über einen einfachen Code-Schnipsel zu extrahieren. Die Verantwortlichen von Pi-Hole veröffentlichten einen Blogbeitrag, in dem sie den Vorfall transparent machen. Während Zahlungsinformationen durch die separate Verarbeitung bei externen Zahlungsdienstleistern nicht betroffen sind, wurden sämtliche Spenderdaten seit Projektbeginn kompromittiert. Der Verursacher des Datendiebstahls ist bislang unbekannt.
Das WordPress-Plugin GiveWP, das mehr als 100.000 Installationen verzeichnet, reagierte zunächst mit Zurückhaltung auf die Vorwürfe. Die Entwickler des Plugins benötigten dann rund einen Tag von der ersten Meldung bis zur Behebung der Sicherheitslücke. Die Schwachstelle entstand nach Angaben eines GiveWP-Entwicklers durch die Migration von Legacy-Code zu React und der WordPress REST-API. Die Kommunikation von GiveWP stößt bei den Pi-Hole-Entwicklern auf Kritik. Während ein GiveWP-Mitarbeiter den Vorfall als menschlichen Fehler trotz Qualitätskontrolle bezeichnet, behauptet ein weiterer Entwickler, es habe keine praktische Ausnutzung der Schwachstelle gegeben. GiveWP informierte über seine Social-Media-Kanäle, doch bleibt unklar, ob andere betroffene Websites und deren Spender benachrichtigt wurden.
Die Pi-Hole-Entwickler werfen GiveWP vor, die Tragweite des Vorfalls zu unterschätzen. Ein bereits vor der Entdeckung veröffentlichtes GitHub-Issue hatte die Schwachstelle dokumentiert, wurde jedoch zunächst nicht ernst genommen. Der Vorfall unterstreicht die Bedeutung sorgfältiger Sicherheitsüberprüfungen bei der Entwicklung von WordPress-Plugins, die sensitive Nutzerdaten verarbeiten.
| # | Vorschau | Produkt | Preis | |
|---|---|---|---|---|
| 1 |
|
Synology DS223J 2 Bay Desktop NAS, weiß | 205,00 EUR | Bei Amazon ansehen |
| 2 |
|
Synology Diskstation DS124 NAS System |
146,95 EUR |
Bei Amazon ansehen |
| 3 |
|
Synology DS223 2-Bay Diskstation NAS (Realtek RTD1619B Quad-Core 2GB Ram 1xRJ-45 1GbE LAN-Port),... |
272,00 EUR |
Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Na geil. Die Reaktion der Plugin Entwickler war schwach. Vermutlich ist Ihnen die Verantwortung die mit dieser Art Entwicklung einher kommt nicht ganz bewusst.
Danke an Dan für die Offenheit.
Wie war das noch mit der „Sicherheit“ von OSS-Projekten? „Jeder kann den Code auf Schwachstellen prüfen“. Richtig, aber es muss auch jemand machen und entsprechend handeln
Fast. GiveWP ist Open Source und kommerziell.
Jein, es ist kostenlos verfügbar und Plugins für das Plugin kosten was so wie ich das auf der Seite erkennen kann. Also man kann es kostenlos nutzen.
Gut, ist halt ein Fall für die Produkthaftung von Software, die wir nicht hinbekommen. Hat man bezahlt und Schaden, so sollte der einklagbar sein. War es kostenlos, warum beschweren?
Ah, okay. Was mit den Plugins fürs Plugin ist weiß ich nicht. Auf Github ist GiveWP jedenfalls unter GPL 2.0+.
Die GPL erlaubt die kommerzielle Nutzung und den Vertrieb. Diese Lizenz wird zwingend für WordPress-Plugins benötigt (sowie für Themes) da WordPress selber GPL als Lizenz nutzt und Erweiterungen bei Nutzung von Code daraus entsprechend lizenzkonform sein sollten.
Bei Themeforest usw. gibt es sehr viele entsprechend lizenzierte kostenpflichtige Lösungen, weswegen diese erstmal straffrei auf Websiten als nulled Lösungen angeboten werden können. Die GPL steht dem nicht im Wege.
Produkthaftung ist nur für den Schutz von Verbrauchern beim Kauf von Produkten. Zu Opensource mit kommerzieller Absicht siehe den Cyber Resilience Act und die Entscheidung zu OSS. Siehe zudem auch die Punkte Garantie und Haftung bei OSS-Lizenzen.
Als ich die Mail über die Schwachstelle bekommen habe hatte ich meine Spende sogleich bereut.