知名网络层广告拦截项目Pi-hole近日披露,其网站用于捐赠的WordPress插件GiveWP存在安全漏洞,导致捐赠者的姓名和电子邮件地址意外泄露。事件最早于7月28日被发现,当时有捐赠者报告收到可疑电子邮件,这些邮箱地址仅用于Pi-hole捐赠相关用途。
Pi-hole在一份事后说明中指出,GiveWP插件的漏洞让所有通过捐赠页面表单提交过信息的用户,个人资料被公开暴露在网页源代码中,无需认证或特殊权限即可访问。根据数据泄露监测网站Have I Been Pwned,约有3万捐赠者受影响,其中73%的数据此前已被收录。
官方强调,用户的财务信息未受到波及,因为支付相关数据由Stripe和PayPal第三方平台安全处理,Pi-hole本身软件产品未受影响,因此普通用户无需采取额外措施。
Pi-hole还批评GiveWP开发团队对漏洞披露后的响应时间过长,用户通知延误达17.5小时,并对潜在影响的重视力度不足。Pi-hole方面为此次事件向受影响的捐赠者致歉,并承认该事件给声誉带来影响,表示将承担相应责任。