Aanvallers hebben de gegevens van 30.000 mensen gestolen die doneerden aan Pi-hole, software die op lokaal netwerkniveau advertenties blokkeert. De gestolen data bestaat uit namen en e-mailadressen. Volgens de ontwikkelaars van Pi-hole is er geen financiële informatie buitgemaakt, zoals creditcardgegevens. Daarnaast heeft het datalek geen betrekking op het product Pi-hole.

Het datalek kwam aan het licht toen gebruikers van Pi-hole allerlei spamberichten ontvingen op e-mailadressen die ze alleen voor Pi-hole.net gebruiken. Verder onderzoek wees uit dat een door Pi-hole.net gebruikte WordPress-plug-in de gegevens van donateurs lekte. Het gaat om GiveWP, een plug-in waarmee WordPress-sites online donaties kunnen ontvangen. Volgens de ontwikkelaars van GiveWP maken meer dan honderdduizend websites er gebruik van. Een kwetsbaarheid zorgde ervoor dat accountinformatie van donateurs direct in de broncode van de achterliggende site zichtbaar was. Elke bezoeker van de donatiepagina kon door middel van View page source deze informatie bekijken.

Na de bugmelding kwamen de ontwikkelaars van GiveWP met een update. Er zat bijna achttien uur tussen het verschijnen van de patch en de waarschuwing van het GiveWP-team, aldus het Pi-hole team, dat toevoegt zeer teleurgesteld te zijn in de reactie van GiveWP. Het Pi-hole team heeft inmiddels besloten de gelekte e-mailadressen met datalekzoekmachine Have I Been Pwned te delen. Via de zoekmachine kunnen gebruikers kijken of hun e-mailadres in een bekend datalek voorkomt en hier een waarschuwing over ontvangen. Van de gelekte e-mailadressen was 73 procent al via een ander datalek bij Have I Been Pwned bekend.

Uit cijfers van WordPress.org blijkt dat meer dan tachtigduizend WordPress-sites die van GiveWP gebruikmaken de update nog niet hebben geïnstalleerd en het risico lopen dat gegevens van donateurs lekken.