Heute Morgen erhielt ich eine E-Mail von der Webseite „Have I been pwned“: Meine E-Mail-Adresse ist von einem Datenleck bei Pi-hole betroffen. Als regelmäßige:r Unterstützer:in von Freier Software hat mich diese Nachricht besonders getroffen – zumal Pi-hole als Projekt für mich immer vorbildlich mit Datenschutz umging.
Was ist passiert?
Pi-hole nutzt das WordPress-Plugin GiveWP, um Spenden zu verwalten. Am 28. Juli 2025 wurde bekannt, dass es über dieses Plugin möglich war, Namen und E-Mail-Adressen von Spender:innen auszulesen – und zwar durch eine Schwachstelle, bei der die Daten im Quelltext der Spendenseite sichtbar waren.
Das Problem wurde am 29. Juli 2025 durch ein Update des Plugins behoben. Die Pi-hole-Entwickler kritisierten jedoch, dass GiveWP erst rund 17 Stunden später offiziell über die Lücke informierte.
Am 31. Juli 2025 wurde das Leck bei „Have I been pwned“ eingetragen, sodass betroffene Spender:innen wie ich direkt benachrichtigt wurden.
Welche Daten waren betroffen?
Name und E-Mail-Adresse von rund 29.900 Spender:innen waren für eine gewisse Zeit öffentlich einsehbar.- Keine Zahlungsdaten (wie Kreditkartennummern) wurden bei Pi-hole gespeichert oder kompromittiert.
- Das Pi-hole-Produkt selbst – also die DNS-Blocker-Software – ist von dem Vorfall nicht betroffen.
Reaktionen in der Community
Viele Nutzer:innen äußerten in Foren und auf Reddit Unmut über die Rolle von GiveWP und betonen, wie wichtig Datenschutz gerade im Open-Source-Umfeld ist. Auch ich frage mich, wie ein etabliertes Plugin so fahrlässig mit sensiblen Daten umgehen konnte. Hier gibt es auch einen langen Thread direkt im Pi-Hole Forum zu diesem Leak.
Was habe ich getan – und was sollten Betroffene tun?
Als ich die Nachricht von „Have I been pwned“ erhielt, habe ich sofort geprüft, wo ich meine betroffene E-Mail-Adresse noch verwende. Diese nutze ich aktiv weil es meine Haupt-Emailadresse ist. Werde nun schauen wegen dem Zugang dort und dann mein Passwort ändern– auch wenn keine Passwörter geleakt wurden. Es ist eine gute Gelegenheit, E-Mail-Aliase zu nutzen und darauf zu achten, dass für verschiedene Dienste unterschiedliche Passwörter verwendet werden. Dies ist auch ein kleiner Reminder an mich das in Zukunft besser mit einem Alias zu machen.
Betroffene Spender:innen sollten:
- Die eigene E-Mail-Adresse bei „Have I been pwned“ prüfen.
- Passwörter ändern, falls sie identisch bei anderen Diensten genutzt werden.
- Zukünftig Einweg-E-Mails oder Aliase in Betracht ziehen.
Was macht Pi-hole jetzt?
Das Pi-hole-Team hat transparent informiert, den Vorfall gemeldet und prüft, künftig auf andere Lösungen als GiveWP zu setzen. Sie haben ihre Community schnell und offen benachrichtigt, was ich sehr positiv finde. Dennoch bleibt ein gewisses Misstrauen gegenüber Drittanbieter-Plugins bestehen.
Fazit
Mich hat das Datenleck persönlich getroffen – und es zeigt, dass selbst Projekte mit hohen Datenschutzstandards auf externe Dienste angewiesen sind, die nicht immer sicher sind. Transparenz und schnelles Handeln wie im Fall von Pi-hole sind wichtig, aber es bleibt die Mahnung, sensibel mit den eigenen Daten umzugehen und für Spenden möglichst datensparsame Wege zu wählen.
Quellen:
- Pi-hole: Compromised Donor Emails: A post‑mortem (30. Juli 2025), https://pi-hole.net/blog/2025/07/30/compromised-donor-emails-a-post-mortem/
- Have I Been Pwned: https://haveibeenpwned.com/Breach/ThePi-Hole
- Community-Diskussionen auf Reddit und Discourse