Pi-hole, bağışçılara ait verilerin ifşa olduğu veri ihlalini doğruladı: WordPress eklentisi kaynaklı açık

Pi-hole: GiveWP Bağış Eklentisi Güvenlik Açığıyla 30 Bin Kullanıcı Verisi Sızdırıldı

Popüler reklam engelleme çözümü Pi-hole, WordPress bağış eklentisi GiveWP’de tespit edilen kritik bir güvenlik açığı nedeniyle kullanıcı verilerinin sızdırıldığını duyurdu.

Kuruluş, 28 Temmuz Pazartesi günü bağışçılardan gelen şüpheli e-posta bildirimleri üzerine durumu fark etti. Yapılan teknik inceleme, GiveWP eklentisinin bir açığından dolayı bağış yapan kullanıcıların isim ve e-posta adreslerinin, herhangi bir kimlik doğrulama olmaksızın sayfanın kaynak kodunu görüntüleyen herkes tarafından erişilebilir olduğunu ortaya koydu.

Veri ihlali yalnızca bağış formu üzerinden destek veren kullanıcıları etkilerken, Pi-hole’un kendi yazılımı bu olaydan etkilenmedi.

Yaklaşık 30 Bin Bağışçı Etkilendi

1 Ağustos Cuma yayımlanan analizde, veri ihlali bildirim servisi Have I Been Pwned yaklaşık 30 bin bağışçının etkilendiğini belirtti. Sızan kayıtların %73’ü, daha önce başka ihlallerde de ifşa olmuş kullanıcı bilgilerini içeriyor.

Pi-hole, finansal bilgilerin Stripe ve PayPal tarafından işlendiğini, bu nedenle kredi kartı veya ödeme detaylarının sızdırılmadığını vurguladı.

Bağış formunda kullanıcıların geçerli isim veya e-posta girmesi zorunlu olmasa da, tüm bağışçı bilgilerine internet üzerinden erişilebilmesinden dolayı Pi-hole özür diledi.

Gecikmeli Bilgilendirme ve Eleştiriler

GiveWP geliştirici ekibi, açığı GitHub’da rapor edilmesinden birkaç saat sonra gidererek 4.6.1 sürümünü yayımladı. Ancak Pi-hole, geliştiricinin kullanıcı bilgilendirmede geciktiğini ve olayın ciddiyetini yeterince önemsemediğini savundu.

Pi-hole açıklamasında, “Kullandığımız yazılımların sorumluluğu bize aittir. Yaygın kullanılan bir eklentiye güven duyduk ve bu güven boşa çıktı. Etkilenen tüm bağışçılardan özür dileriz.” ifadesi yer aldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI