Pi-hole เป็นระบบบล็อกโฆษณาระดับเครือข่ายที่ได้รับความนิยม ได้เปิดเผยว่าชื่อ และอีเมลของผู้ร่วม donate ถูกเปิดเผยออกมา เนื่องจากช่องโหว่ด้านความปลอดภัยในปลั๊กอิน GiveWP ของ WordPress ที่ใช้สำหรับรับ donation
Pi-hole ทำหน้าที่เป็น DNS sinkhole ช่วยกรองเนื้อหาที่ไม่ต้องการก่อนที่จะไปถึงอุปกรณ์ของผู้ใช้ เดิมทีถูกออกแบบมาให้ทำงานบน Raspberry Pi Single-Board Computers แต่ปัจจุบันรองรับระบบ Linux หลากหลายแบบ ทั้งบนฮาร์ดแวร์เฉพาะทาง และ VM
องค์กรระบุว่าพวกเขาทราบถึงเหตุการณ์นี้ครั้งแรกเมื่อวันจันทร์ที่ 28 กรกฎาคม หลังจากผู้ร่วม donate เริ่มรายงานว่าพวกเขาได้รับอีเมลที่น่าสงสัย ซึ่งถูกส่งไปยังที่อยู่อีเมลที่ใช้เฉพาะสำหรับการ donate เท่านั้น
ในรายงานสรุปเมื่อวันศุกร์ ระบุว่าเหตุข้อมูลรั่วไหลนี้เกิดกับผู้ที่เคย donate ผ่านแบบฟอร์มบนเว็บไซต์ Pi-hole เพื่อสนับสนุนการพัฒนา โดยข้อมูลส่วนตัวของผู้ร่วม donate สามารถถูกเห็นได้จากการเปิดดู Source Code ของหน้าเว็บ เพราะมีช่องโหว่ในปลั๊กอิน GiveWP
ช่องโหว่นี้เกิดจากปลั๊กอิน GiveWP ซึ่งเป็นปลั๊กอินของ WordPress ที่ใช้ในการจัดการรับ donate บนเว็บไซต์ Pi-hole โดยปลั๊กอินนี้ทำให้ข้อมูลของผู้ร่วม donate ถูกเปิดเผยต่อสาธารณะโดยไม่ต้องมีการยืนยันตัวตนหรือสิทธิ์พิเศษใด ๆ
แม้ Pi-hole จะไม่เปิดเผยจำนวนผู้ได้รับผลกระทบ แต่บริการแจ้งเตือนข้อมูลรั่วไหล ‘Have I Been Pwned’ ได้เพิ่มเหตุการณ์ข้อมูลรั่วของ Pi-hole ลงในระบบ โดยระบุว่ามีผู้ร่วม donate ได้รับผลกระทบเกือบ 30,000 ราย และ 73% ของข้อมูลที่รั่วไหลนั้นมีอยู่ในฐานข้อมูลของ ‘Have I Been Pwned’ แล้ว
ไม่มีข้อมูลการเงินรั่วไหล
Pi-hole ยืนยันว่าไม่มีข้อมูลทางการเงินของผู้ร่วม donate ถูกเปิดเผย เพราะข้อมูลบัตรเครดิต และรายละเอียดการชำระเงินอื่น ๆ ถูกจัดการโดย Stripe และ PayPal โดยตรง และยังยืนยันด้วยว่าซอฟต์แวร์ Pi-hole เองไม่ได้รับผลกระทบใด ๆ
Pi-hole ระบุว่า พวกเขาได้ชี้แจงในแบบฟอร์ม donate อย่างชัดเจนว่า ไม่จำเป็นต้องกรอกชื่อ หรืออีเมลที่ถูกต้องจริง ๆ เพราะแบบฟอร์มนี้มีไว้เพื่อให้ผู้ใช้สามารถดู และจัดการการ donate ของตัวเองเท่านั้น และยังเน้นย้ำว่า Pi-hole เองไม่ได้รับผลกระทบจากเหตุการณ์นี้เลย ผู้ใช้ที่ติดตั้ง Pi-hole ในเครือข่ายไม่จำเป็นต้องดำเนินการใด ๆ เพิ่มเติม
แม้ว่า GiveWP จะปล่อยแพตช์แก้ไขภายในไม่กี่ชั่วโมงหลังจากที่ช่องโหว่ถูกรายงานบน GitHub แต่ Pi-hole กลับวิจารณ์การตอบสนองของผู้พัฒนาปลั๊กอิน โดยระบุว่ามีความล่าช้าในการแจ้งเตือนผู้ใช้ถึง 17.5 ชั่วโมง และยังมองว่าการยอมรับถึงผลกระทบของช่องโหว่ที่มีต่อชื่อ และอีเมลของผู้ร่วม donate นั้นยังไม่เพียงพอ
Pi-hole ได้ขอโทษผู้ร่วม donate ที่ได้รับผลกระทบ และยอมรับว่ากรณีนี้อาจทำให้ชื่อเสียงเสียหาย โดยระบุว่าถึงแม้ช่องโหว่นี้จะไม่สามารถคาดการณ์ได้ แต่พวกเขารับผิดชอบต่อการรั่วไหลของข้อมูลที่เกิดขึ้น
Pi-hole ระบุเพิ่มเติมในบล็อกวิเคราะห์เหตุการณ์ว่า “ชื่อ และอีเมลของทุกคนที่เคย donate ผ่านหน้าเว็บของเรา ถูกเปิดเผยให้คนทั่วโลกเห็น หลังจากได้รับแจ้งไม่กี่ชั่วโมงก็มีการแก้ไขโค้ดที่มีปัญหา และออกเวอร์ชัน 4.6.1 แล้ว”
"เรารับผิดชอบเต็มที่ต่อซอฟต์แวร์ที่เราใช้งาน เราได้วางใจในปลั๊กอินที่ได้รับความนิยมอย่างแพร่หลาย แต่ความไว้วางใจนั้นถูกทำลายลง"
ที่มา : bleepingcomputer
You must be logged in to post a comment.