💥 Fuite de données sur GiveWP : plus de 100 000 sites WordPress concernés

Une faille d’exposition d’informations touche le plugin de dons GiveWP

Une vulnérabilité dans le plugin GiveWP expose les noms et emails de donateurs sur des milliers de sites WordPress. Aucun login requis. Découvre ce qu’il s’est passé, pourquoi ça fait polémique… et surtout, comment te protéger.

Quelles sont les conséquences concrètes ?

Si tu utilises GiveWP, tu dois savoir que cette faille permet à un visiteur lambda de collecter les informations de tes donateurs. Et on parle bien là de données personnelles sensibles : prénom, nom, email, identifiant de donateur…

➡️ Risques directs :

• Violation du RGPD
• Fraudes ciblées (phishing, usurpation d’identité)
• Perte de confiance de tes donateurs

Réactions (très) vives sur Github

La communauté n’a pas tardé à réagir, et pas dans la douceur.

La page Github de ce problème a été envahie de messages de mécontentement, parfois furieux. Le support aurait d’abord ignoré le problème.

Chaque intervention du Community Manager se solde alors une pluie de downvotes 👎.

Un utilisateur résume bien la situation : « This was not a minor issue. This was a massive security and privacy issue ?« 

La difficulté étant ensuite bien-sûr pour chacun de gérer le leak de données auprès de ses clients mécontents…

« We, as the responsible party, self-reported to Troy Hunt and HIBP so they could notify the donor affected. I am receiving emails from rightfully upset donors that do not care that GiveWP was the cause of the leak, they care the Pi-hole had their data, Pi-hole caused their data to be released and thus Pi-hole will be responsible for their damages. We are getting threats of action against us under GDPR. »

dschaper – From GitHub Comment

Que faire si tu utilises GiveWP ?

Voici les actions à prendre immédiatement :

🔄 1. Mets à jour GiveWP vers la version 4.6.1

C’est la seule version qui corrige cette vulnérabilité.

🔍 2. Vérifie si des données ont pu être exposées

Concrètement… Si tu avais le plugin, alors le risque est présent dès qu’un seul visiteur a pu visiter ton site. Plus le site est populaire, plus le risque est grand.

📢 3. Informe tes utilisateurs en cas de fuite

Transparence = confiance. Si tu as le moindre doute sur une fuite effective, prends les devants :

• Préviens les donateurs concernés (email, notification, message sur ton site…)
• Donne-leur des conseils simples : changer leur mot de passe s’ils en ont un, rester vigilants aux tentatives de phishing, etc.

🏛️ 4. En France : Notifie la CNIL si nécessaire

Si la fuite représente un risque pour les droits et libertés des personnes concernées (ce qui est souvent le cas avec noms + emails), tu as 72h pour la déclarer à la CNIL après en avoir eu connaissance.

⚠️ C’est une obligation prévue par le RGPD (article 33).

➕ Si le risque est élevé, tu dois également informer directement les personnes concernées.

Plus d’infos sur : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles

Impact chez LRob

Chez LRob, seul un site comporte ce plugin, et le plugin y est désactivé.
Il faut croire que nous n’hébergeons pas encore suffisamment d’associations.

Aucun impact à relever, donc.

Ressources utiles pour creuser le sujet

• 🔗 Changelog GiveWP – version 4.6.1
• 🔗 Détails sur la faille par WordFence
• 🔗 Issue GitHub de la polémique

En conclusion : reste vigilant

Une faille comme celle-ci nous rappelle que même les plugins les plus populaires peuvent comporter des risques.

🛡️ Protège tes donateurs. Renforce ta sécurité. Reste à jour.

💡 Besoin d’un coup de main côté sécurité ?

Marre de devoir surveiller chaque faille, chaque plugin, chaque CVE ?

Avec les hébergements web LRob, tu bénéficies d’une surveillance automatisée, d’un blocage en temps réel et de notifications claires quand un souci est détecté. Si besoin on s’occupe de tout pour toi grâce aux offres webmastering.

👉 Tous nos services sur www.lrob.fr 🚀🔒