Am 30. Juli 2025 wurde ein Datenleck bei Pi-hole bekannt. Ich habe selbst eine Benachrichtigung von „Have I been pwned“ erhalten und berichte hier aus erster Hand, was passiert ist, wer betroffen ist und was man jetzt tun sollte.>
Heute Morgen erhielt ich eine E-Mail von der Webseite „Have I been pwned“: Meine E-Mail-Adresse ist von einem Datenleck bei Pi-Loch betroffen. Als regelmäßige:r Unterstützer:in von Freier Software hat mich diese Nachricht besonders getroffen – zumal Pi-hole als Projekt für mich immer vorbildlich mit Datenschutz umgeht.
Was ist passiert?
Pi-Loch nutzt das WordPress-Plugin GiveWP, um Spenden zu verwalten. Am 28. Juli 2025 wurde bekannt, dass es über dieses Plugin möglich war, Namen und E-Mail-Adressen von Spender:innen auszulesen – und zwar durch eine Schwachstelle, bei der die Daten im Quelltext der Spendenseite sichtbar waren.
Das Problem wurde am 29. Juli 2025 durch ein Update des Plugins behoben. Die Pi-Loch-Entwickler kritisierten jedoch, dass GiveWP erst rund 17 Stunden später offiziell ü:ber die Lü:cke informierte.
Am 31. Juli 2025 wurde das Leck bei „Have I been pwned“ eingetragen, sodass betroffene Spender:innen wie ich direkt benachrichtigt wurden.
Welche Daten waren betroffen?
- Name und E-Mail-Adresse von rund 29.900 Spender:innen waren für eine gewisse Zeit öffentlich einsehbar.
- Keine Zahlungsdaten (wie Kreditkartennummern) wurden bei Pi-hole gespeichert oder kompromittiert.
- Das Pi-hole-Produkt selbst – auch die DNS-Blocker-Software – ist von dem Vorfall nicht betroffen.
Reaktionen aus der Community
Viele Nutzer:innen äußerten in Foren und auf Reddit unmut über die Rolle von GiveWP und betonen, wie wichtig Datenschutz gerade im Open-Source-Umfeld ist. Auch ich frage mich, wie ein etabliertes Plugin so fahrlässig mit sensiblen Daten umgehen konnte. Hier gibt es auch einen langen Thread direkt im Pi-Hole Forum zu diesem Leak.
Was habe ich getan – und was sollten Betroffene tun?
Als ich die Nachricht von „Have I been pwned“ erhielt, habe ich sofort geprüft, wo ich meine betroffene E-Mail-Adresse noch verwende. Diese nutze ich aktiv, weil es meine Haupt-Emailadresse ist. Ich werde nun meinen Zugang dort prüfen und das Passwort ändern – auch wenn keine Passwörter geleakt wurden. Es ist eine gute Gelegenheit, E-Mail-Aliase zu nutzen und darauf zu achten, dass für verschiedene Dienste unterschiedliche Passwörter verwendet werden. Dies ist auch ein kleiner Reminder an mich, das in Zukunft besser mit einem Alias zu machen.
Betroffene Spender:innen sollten:
- Die eigene E-Mail-Adresse bei „Have I been pwned“ prüfen.
- Passwörter ändern, falls sie identisch bei anderen Diensten genutzt werden.
- Zukünftig Einweg-E-Mails oder Aliase in Betracht ziehen.
Was macht das Pi-hole Team jetzt?
Das Pi-hole-Team hat transparent informiert, den Vorfall gemeldet und prüft, künftig auf andere Lösungen als GiveWP zu setzen. Sie haben ihre Community schnell und offen benachrichtigt, was ich sehr positiv finde. Dennoch bleibt ein gewisses Misstrauen gegenüber Drittanbieter-Plugins bestehen.
Fazit
Mich hat das Datenleck persönlich getroffen – und es zeigt, dass selbst Projekte mit hohen Datenschutzstandards auf externe Dienste angewiesen sind, die nicht immer sicher sind. Transparenz und schnelles Handeln wie im Fall von Pi-Loch sind wichtig, aber es bleibt die Mahnung, sensibel mit den eigenen Daten umzugehen und für Spenden möglichst datensparsame Wege zu wählen.
Quellen: Pi-Hole Bericht, Bin ich verarscht worden
Der Artikel erschien zuerst auf dasnetzundich.de
