E-mailadressen van alle 30.000 Pi-Hole-donateurs gestolen via WordPress-plug-in

De namen en e-mailadressen van zeker 30.000 donateurs van de adblockersoftware Pi-Hole zijn gestolen. Dat gebeurde volgens Pi-Hole via een WordPress-plug-in die de dienst op zijn site gebruikte: GiveWP. De ontwikkelaars van Pi-Hole leggen de schuld bij de maker van die plug-in.

De makers van de populaire adblockersoftware Pi-Hole schrijven in een blogpost dat alle namen en e-mailadressen van alle donateurs die de dienst ooit heeft gehad, zijn uitgelekt. Het is niet bekend wie er achter die datadiefstal zit. Er zijn geen betaalgegevens gestolen. Die worden verwerkt via betaalproviders en niet via de plug-in zelf.

Pi-Hole geeft aan dat het probleem ligt in een plug-in die de makers op hun donatiepagina gebruiken. Dat is GiveWP, een plug-in die donaties en crowdfunding mogelijk maakt. Aanvankelijk zeiden die ontwikkelaars zelf dat er niets aan de hand was en dat zij geen problemen hadden, maar de Pi-Hole-makers ontdekten dat er eerder al een issue op GitHub was verschenen waarin de kwetsbaarheid werd aangetoond. Het bleek simpelweg mogelijk de informatie van donateurs uit een codesnippet op te halen.

Pi-Hole bekritiseert de manier waarop GiveWP het probleem oploste. Tussen de aanvankelijke melding en de reparatie zat volgens Pi-Hole 17,5 uur, en de GiveWP-makers zouden het probleem bagatelliseren. Een van de GiveWP-ontwikkelaars zegt dat het probleem werd veroorzaakt nadat oude code werd vervangen door React en de REST-api van WordPress zelf, maar dat de bug ondanks kwaliteitscontroles er toch doorheen wist te slippen. "We zijn allemaal mensen en soms zien we dingen als deze over het hoofd." Een andere ontwikkelaar zegt daarnaast dat er 'geen exploitatie in de echte wereld' plaatsvond. Ook dat noemt Pi-Hole kwalijk.

GiveWP zegt op zijn socialemediakanalen een waarschuwing te hebben geplaatst, maar het is niet bekend of de dienst donateurs van andere websites nog zelf wil inlichten over het lek. Het is ook niet bekend hoeveel gebruikers er zijn; GiveWP zelf is meer dan 100.000 keer geïnstalleerd.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 01-08-2025 09:43
163 • submitter: tjorni

01-08-2025 • 09:43

163

Submitter: tjorni

Lees meer

Ontwikkelaars zoeken bètatesters voor Pi-Hole v6 met allowlistabo's en Https
Ontwikkelaars zoeken bètatesters voor Pi-Hole v6 met allowlistabo's en Https Nieuws van 10 oktober 2023
Bepaalde TP-Link-routers lijken informatie over dns-verzoeken te delen met Avira
Bepaalde TP-Link-routers lijken informatie over dns-verzoeken te delen met Avira Nieuws van 13 maart 2022
Openbare Pi-Hole Adhole van tweaker Freekers gaat offline
Openbare Pi-Hole Adhole van tweaker Freekers gaat offline Nieuws van 12 januari 2022
Nieuwe versie Pi-Hole kan groepen aanmaken en firstpartytrackers blokkeren
Nieuwe versie Pi-Hole kan groepen aanmaken en firstpartytrackers blokkeren Nieuws van 12 mei 2020
Lek in webinterface Pi-Hole maakte remote code execution mogelijk
Lek in webinterface Pi-Hole maakte remote code execution mogelijk Nieuws van 31 maart 2020
Meer producten en artikelen
Beveiliging en antivirus Pi-hole

Reacties (163)

-Moderatie-faq
163
160
52
3
1
91
Wijzig sortering
HansHier 1 augustus 2025 10:54
Wat kan men uiteindelijk met e-mail adressen behalve spammen? Ik kreeg ook een melding via mijn Roboform account, is dit niet paniek om weinig?
Webgnome @HansHier1 augustus 2025 11:23
Het is niet alleen het e-mail adres, het is een combinatie van factoren. Wat er veel gebeurd is dat uit diverse bronnen data lekt. Als daar ook maar 1 ding overlapt zoals o.a. het e-mail adres dan kun je zaken aan elkaar knopen.

Stel je komt voor in 3 lekken.

- Lek 1 bestaat uit email, gebruikersnaam

- Lek 2 bestaat uit voornaam, achternaam, telefoonnummer, adres, BSN

- Lek 3 bestaat uit email, voornaam, achternaam

Dan is het nu al een simpel kunstje om je adres, bsn en telefoonnummer te koppelen aan je voornaam en achternaam en dus je adres en je BSN. Dat is het echte probleem bij dit soort leaks. Je kan ze niet meer los zien van andere data lekken..

[Reactie gewijzigd door Webgnome op 1 augustus 2025 12:50]

manuarmata @Webgnome2 augustus 2025 18:39
Klopt, het is een goede gewoonte om voor elk account niet alleen een uniek wachtwoord te kiezen maar ook een uniek e-mail adres. En voor alle onbelangrijke troep een unieke fictieve naam en geboortedatum. Hoe minder aanknopingspunten hoe beter.
Webgnome @manuarmata2 augustus 2025 19:38
wat natuurlijk niet gaat helpen zijn de tips die men wel eens geeft dat je bij een gmail account een + kan gebruiken om er een catch all van te maken. Immers dan begint het e-mail adres alsnog met je eigen unieke handle en dat is er zo uit te filteren.
Rick0489 @Webgnome2 augustus 2025 22:58
Check eens addy.io. Eventueel i.c.m. een custom domain.
bozotheclown @HansHier2 augustus 2025 13:09
In onze context is het paniek om weinig. In de context van bijvoorbeeld Iran, waar dan e-mailadressen uitlekken van mensen die niet islamitische doelen steunen, kan dit levensgevaarlijk zijn voor donateurs.

Overigens niet alleen in Iran, maar ook in een land als Sri Lanka. Daar kan het voor moslims en christenen gevaarlijk zijn, als de overheid of anderen uitvinden dat ze actief zijn in hun geloof. Zo zijn er nog veel meer voorbeelden waar het uitlekken van e-mailadressen, verstrekkende gevolgen kan hebben voor mensen die niets raars doen.
telenut @bozotheclown5 augustus 2025 11:47
In onze context is het al terug gevaarlijk voor Joden of mensen die Israël steunen...
Oon 1 augustus 2025 09:55
Altijd mooi om te zien dat mensen voor de goedkoopste oplossing gaan en dan klagen over het resultaat.
De reactie van de developers is best prima; ze hebben een grote refactor gedaan en daarmee zijn er wat dingen verkeerd gegaan. Het blijft toch een WordPress plugin, die kun je over het algemeen niet meer vertrouwen dan de broncode die je zelf hebt bekeken.
Maar dat er zoveel mensen nu die developers de schuld geven terwijl ze zelf een of andere WordPress plugin gebruiken en zomaar hebben geüpdate op hun productiewebsite is toch weer leuk. Zelfs lopen roepen dat die plugin verantwoordelijk is voor het veilig opslaan en verwerken van persoonsgegevens, hoe gek kun je het maken 8)7
Bender @Oon1 augustus 2025 10:18
GiveWP is niet de goedkoopste oplossing.

En 'en zomaar hebben geüpdate' is in deze context ook wat raar, want je gaat echt niet zomaar plugin updates pentesten voor iedere wijziging.
JJK 1 augustus 2025 09:45
Daarom, voor elke website een random email generator gebruiken die gekoppeld is aan je echte email...
RandyJC @JJK1 augustus 2025 09:47
Inderdaad, ik gebruik sinds kort http://simplelogin.io icm mijn wachtwoord manager Bitwarden. Perfecte combo :)
DigitalExorcist @RandyJC1 augustus 2025 09:54
Hoe doe je dat in combinatie met Bitwarden? Het lijkt me wel een interessante optie. Heb inmiddels een account gemaakt/aan m'n Proton mail gekoppeld.
JustFraKe @DigitalExorcist1 augustus 2025 10:01
Wellicht is dat i.c.m. Proton Pass makkelijker, dat zit er als functionaliteit al ingebouwd (via simplelogin).
RandyJC @DigitalExorcist1 augustus 2025 10:09
Ik bedoel meer dat Bitwarden de gebruikersnaam (een random e-mailadres) opslaat in combinatie met de bijbehorende URL en het wachtwoord. Op mijn telefoon, pc en elk ander apparaat heb ik Bitwarden geïnstalleerd.

Let wel: wanneer ik Bitwarden om wat voor reden dan ook niet kan bereiken, ben ik de sjaak, want ik ken geen enkele combinatie van mijn gebruikersnaam of wachtwoord uit mijn hoofd. Daarom gebruik ik ook Lazywarden, zodat ik mijn gegevens lokaal kan opvragen of andersom, synchroniseren met de cloud van Bitwarden.
DigitalExorcist @RandyJC1 augustus 2025 10:27
Ja maar daar gebruik je dan de API van SimpleLogin voor neem ik aan? (Had al even snel geGoogled..). En Bitwarden is offline gecached dus als die onbereikbaar is, is het nog niet zo'n probleem als je cache up to date is toch.
Room42 @DigitalExorcist1 augustus 2025 12:40
Je kunt in BitWarden de SimpleLogin API invullen en dan kan BitWarden zelf een random e-mailadres voor je maken als username. Je kunt dat vinden door het knopje 'Generate username' te klikken, zoals je ook random passwords kunt genereren.
DigitalExorcist @Room421 augustus 2025 13:38
Ah dank! Ja dat heb ik nu gevonden.

Misschien dat ik het niet helemaal snap.. maar.. ik wil die API key voor SimpleLogin ergens vastzetten zodat ik bij een volgende keer gewoon een alias kan maken zónder eerst in die Generator de API-key weer moet copy/pasten. Is dat ergens een optie..?

EDIT: My bad, volgens mij onthoudt ie dat gewoon..

[Reactie gewijzigd door DigitalExorcist op 1 augustus 2025 13:39]

Room42 @DigitalExorcist1 augustus 2025 13:42
Bij mij slaat ie hem gewoon op. Het is wel een lokale instelling, volgens mij. Je moet hem op alle clients instellen. Wat je kan doen is de API in Bitwarden als login opslaan. :)
DigitalExorcist @Room421 augustus 2025 14:00
Haha.. ja dat is ook een idee inderdaad. Dank, ik ga me even verdiepen in SimpleLogin vs. Mozilla Relay, die is qua prijs iets gunstiger en ik lees wat berichten dat SL misschien uitgefaseerd gaat worden ten gunste van iets dat Proton zélf wil gaan bouwen, gezien hun verregaande samenwerking en blijkbaar is SL ook al 1,5 jaar niet geüpdatet..
slowdive @RandyJC1 augustus 2025 10:47
Maar wat als dit bedrijf de stekker eruit trekt?
jcbvm @slowdive1 augustus 2025 11:13
Zolang je ergens een backup hebt van je e-mailadressen kun je alsnog inloggen bij de dienst waar je het e-mailadres voor gebruikt en je e-mail wijzigen
RandyJC @jcbvm1 augustus 2025 12:02
Ja ik maak gebruik van mijn eigen domein die compleet los staat van normale domein, dus stel ze trekken de stekker eruit dan kan ik simpelweg dit email adres opnieuw aanmaken en dan mijn email adres wijzigen als ze een verificatie nodig hebben.

Of ik ga opzoek naar een ander vergelijkbare dienst en ik voeg datzelfde domein daar toe :)
nietorigineel @jcbvm1 augustus 2025 13:11
Bij veel accounts moet je denk ik wel een emailadres wijziging bevestigen vanaf het huidige email-adres, dus alsnog wel een geldige vraag van @slowdive
jcbvm @nietorigineel1 augustus 2025 13:49
Ik heb laatst al mijn e-mailadressen gewijzigd, bij de meeste services hoef je enkel je nieuwe adres te verifiëren.
slowdive @jcbvm1 augustus 2025 15:17
Daar zou ik dan een groot vraagteken bij willen plaatsen. Jij hebt even toegang tot een account van mij en kunt het mailadres veranderen zonder dat ik dat moet bevestigen.

Nu is het in de eerste plaats dom dat ik niet voorkwam dat jij in mijn account kon rommelen, maar deze penalty lijkt me onnodig.
jcbvm @slowdive1 augustus 2025 17:59
Vaak heb je gewoon je huidige wachtwoord nodig om te kunnen wijzigen, en meestal krijg je op je oude mail netjes een melding dat je e-mailadres gewijzigd is. Maar bij veel ook niet helaas.
Room42 @slowdive1 augustus 2025 12:41
Je kunt bij SimpleLogin een (eigen) custom domain nemen. Deze gebruik ik voor zaken die ik niet kwijt wil raken. In geval van nood, kan ik een catch-all mailbox instellen op dat domein om alle random e-mailadressen weer actief te hebben.
PaulHelper @RandyJC2 augustus 2025 09:52
Maar gebruik je dan de gratis versie want 10 aliassen is wel wat maar niet super veel. DuckDuckGo heeft er oneindig die gebruik ik
RandyJC @PaulHelper2 augustus 2025 10:58
Betaalde versie heb ik.

DuckDuckGo heeft een soortgelijke dienst? Dat wist ik niet. Moet eerlijk toegeven dat ik niet super veel onderzoek heb gedaan.

Ik had gehoopt dat Migadu een soortgelijke dienst zou hebben omdat ik daar al mijn mail host maar helaas was dat niet het geval. Dus toen ben ik eigenlijk maar direct gegaan voor SL.
PaulHelper @RandyJC2 augustus 2025 11:11
Ja ik hoor wel een hoop mensen met simplelogin dus het zal wel heel lekker werken. Duckduckgo mail is niet super geavanceerd maar het doet voor mij precies wat het moet, unieke emails die doorsturen naar door mij beheerd emailadres.
telenut @RandyJC5 augustus 2025 11:50
Voor iedereen zoals ik daar nu direct een account gaat aanmaken: met een gratis account kan je maar 10 aliassen aanmaken... vrij nutteloos dus, en anders weer betalen voor een dienst...
ByteDelight @JJK1 augustus 2025 09:51
Of - zoals ik vind dat het hoort - iedereen een eigen domeinnaam.
Is leuk en creatief, kost geen drol (minder dan een biertje per jaar), en zorgt ervoor dat je voor elke instantie on-the-fly een nieuw email adres kunt verzinnen.
Dat maakt heel snel 99.9% duidelijk of het sc/pam/fishing is dat je binnenkrijgt.

Af en toe een regeltje toevoegen in je email-client om rommel in de wastebin te droppen, en klaar is Ben.

[Reactie gewijzigd door ByteDelight op 1 augustus 2025 09:52]

itarix @ByteDelight1 augustus 2025 10:17
Huh? Hoe dan?

Een domein kost al meer dan een biertje. Vervolgens moet het ook nog naar een mail server verwijzen dat lijkt mij ook niet gratis.

Daarnaast staat ook gelijk je adres op internet met whois registratie.
latka @itarix1 augustus 2025 10:22
Who is is redelijk anoniem tegenwoordig en een .stream domein koste een maand of wat terug 40 euro voor 10 jaar. Mail bij isp en een mx daarheen en je bent er al (mits je isp iets meer voorstelt dan de gemiddelde consumenten isp.... Dat is denk ik het lastigste in deze )
itarix @latka1 augustus 2025 10:37
Voor minder dan een biertje per jaar als je een pro isp neemt...

Ik denk dan gelijk aan freedom en die is minstens 20 euro per maand duurder dan Odido. Afijn voor 60euro per jaar kan je daar mail only nemen.

Is nogsteeds een significant biertje. Die 10 jaar voor 40 euro aanbieding zie ik zo snel niet maar je komt dan inderdaad met alleen het domein uit op een horica biertje van 4 euro per jaar.
jorikc @itarix1 augustus 2025 12:14
Minstens 20 euro? Nee hoor, het kan best zoveel schelen, maar dat is afhankelijk van je postcode / welke netwerken er je huis inkomen, en dus zeker niet "minstens 20 euro". Bij mij scheelt het maar 5 euro per maand (bij eigen apparatuur en zonder tijdelijk acties of jaarkortingen), namelijk €45 bij Odido en €50 bij Freedom Internet (beiden voor 1Gbit). Dan is het prijsverschil dus precies gelijk aan de mail only van Freedom :) .
laptopleon @itarix1 augustus 2025 21:40
(Lijkt me niet handig dat bij een isp te doen, want dan zit je min of meer aan die partij vast als je wil veranderen internetprovider, maar ieder zijn meug.)

Voor € 7 per jaar heb je al een .nl domein bij een bekende, grote Nederlandse internetprovider en voor € 3 per maand = € 36 per jaar ben je er 8 GB aan hosting bij. Bij elkaar kost het nog geen euro per week.

Stel hem in op catch-all en je hoeft ook geen losse mailboxen aan te maken. Je kan gewoon elk mailadres wat eindigt op @jouwmailadres.nl ter plekke bedenken en gebruiken.
Dennisb1 @latka1 augustus 2025 13:20
.stream domein koste een maand of wat terug 40 euro voor 10 jaar.
Waar dan?
GillesGewoon @latka1 augustus 2025 14:55
Een normale KPN mail kan dat ook al (6 mailboxen van 15gb elk): https://community.kpn.com/kennisbank-kpn-webmail-173/mailadres-aanmaken-voor-je-eigen-domein-via-kpn-webmail-626773

Een .nl domein erbij is € 5,69 bij Vimexx. Dus naast je internetabonnement wat je toch al hebt, kost zo'n eigen mailbox niet zo veel.
huiz @latka1 augustus 2025 19:39
Een .stream domein? Zijn nog een hoop websites die alle afwijkende TL domeinen niet beschouwen als een geldig mailadres. Op mijn werk heb ik een .world adres maar kan daar lang niet overal mee inloggen.
iqcgubon @itarix1 augustus 2025 10:22
Daarnaast staat ook gelijk je adres op internet met whois registratie.
Dat is al lang niet meer het geval.
SmokingCrop @itarix1 augustus 2025 11:23
Vimexx kan het best goedkoop alleszins. Verlengen aan € 35,57/jaar (eerste jaar € 5,88)

WebmailBasic € 0,45 / maand* → Verlengen tegen € 2,49 per maand (29,88/jaar)
Domein NL € 0,48 / maand* → Verlengen tegen € 5,69 per jaar

Zit je wel met een 8GB opslag omgeving, kan dus te weinig zijn afhankelijk van je gebruik.
Hetzner doet € 1,76/maand (21,12/jaar)voor 10GB opslag voor max 100 emailaccounts.

[Reactie gewijzigd door SmokingCrop op 1 augustus 2025 11:28]

Pindamann @SmokingCrop1 augustus 2025 13:16
Voor email kun je ook purelymail overwegen. Dat is een eenmansbedrijfje uit amerika waar je voor 10 euro per jaar of alleen voor wat je gebruikt betalen. Ik zelf betaal voor 2 mailboxen waar amper verkeer over komt misschien 5 euro per jaar
ByteDelight @itarix1 augustus 2025 12:07
Ik lees hieronder alleen reacties van mensen die hosting verwarren met een domeinnaam.
Een domeinnaam met emailbox is echt niet duur.
Je hoeft niet persé een .nl naam te pakken - anderen zijn goedkoper.
jeanj @ByteDelight1 augustus 2025 12:53
Ik hoor graag welke combinatie jij gebruikt en wat dat kost

Ik heb zelf 15 domeinnamen die ik vanwege de kosten ga verhuizen, dat bespaard me al 50% (ja het loont om rond te kijken)

De goedkoopste hosting met email voor meerdere domeinen die ik kon vinden was, hostslim voor 0,85 per maand, iets van 10 euro per jaar, ex domein naam (daar zijn ze niet duur mee, maar die kan je ergens anders laten staan). Ik zag alleen wel wat negatieve reviews, dus ik ben nog niet over. bhosted was een andere goedkope provider voor hosting of alleen email, voor 22 of 11 euro (ex domein naam).

Mijn pakket aan 15 domein namen was het goedkoopst bij mijn.host en hostslim.

Dus voor 15-20 euro per jaar heb je een nl domein naam (5,99) en een pakket voor email of hosting
le1337 @jeanj1 augustus 2025 14:45
Misschien een idee om bij OVH te kijken, daar is Zimba starter 0,30€/maand per account.

Domein namen daar zijn oké-ish geprijst, in ieder geval voor renerwal.
jeanj @le13372 augustus 2025 13:18
Dank je. Op zich zelf een interessant pakket als je alleen email wilt, er staat alleen niet bij voor hoeveel domeinen dit is. De hosting pakketten zijn helaas ook alleen maar voor 1 domein naam is, dus ik denk het email pakket ook.


Domein name zijn idd iets (10-20% voor mijn 15 stuks) duurder als de goedkoopsten uit mijn onderzoek, maar stukken goedkoper dan de duursten (200-300%)
laptopleon @ByteDelight1 augustus 2025 21:47
Welke zijn goedkoper dan? Ik zie .nl. vanaf € 7 / jaar bij Vimexx en die heeft ook redelijke prijzen voor hosting. Juist andere tld’s zijn hard duurder geworden de laatste 10 jaar.

Ja, je ziet vaak aanbiedingen van (bijna) gratis domeinnamen, maar dat betaal je driedubbel terug na het eerste jaar of zodra je er een hostingpakketje bij neemt.
DikkieDick @ByteDelight1 augustus 2025 10:34
Doe ik al tijden via mijn eigen domein. Dus bv voor bol.com een emailadres bol@datdomein . Krijg ik 'ineens' andere mail binnen op dit adres dan weet ik dat ze een datalek hebben gehad.
En met de tegenwoordige bierprijzen in de kroeg (zeker voor de lekkere speciaalbieren) is een nl-domein veelal goedkoper dan zo'n biertje. :-)
CypressGTX @DikkieDick1 augustus 2025 10:39
Klopt, zo heb ik het ook en dat allemaal opgeslagen in mijn Keepass en op iPhone openen met KeePassium. Tweakers@eigendomein.nl.

en als ik e-mail vanuit dat alias gebruik ik Em-Client

Maar je gebruikt dan ook een catchall adres?

[Reactie gewijzigd door CypressGTX op 1 augustus 2025 10:45]

DikkieDick @CypressGTX1 augustus 2025 10:45
default gaat naar mijn mail account. Had vroeger voor allerhande zaken een speciaal antispam-mailalias. Op een gegeven moment mijn reguliere emailadres gebruikt waar dus nu ook de nodige spam uiteraard op binnenkomt. En een paar jaar geleden idd voor diverse organisaties diverse emailadressen. Dit gaat overigens niet altijd goed. Soms lijkt het dat mail gestuurd naar bedrijf@mijndomein op de 1 of andere manier geblockt wordt aan de bedrijfkant. Als ik dan mijn reguliere emailadres invul dan gaat het wel goed. Ik zou daar idd nog iets anders creatiefs op kunnen verzinnen en ipv bedrijf@domein bv bed1jf@domein kunnen doen zodat het desbetreffende bedrijf niet hun bedrijfsnaam in mijn emailadres ziet.

Ik zit even te neuzen naar de catch-all-optie maar dan moet ik dus wel bij mijn provider alle email-aliassen in gaan vullen en wat dan binnenkomt op een ander email-adres dan wat geconfigureerd staat wordt gebounced. Da's nog al een hele klus. Ben ook ff aan het neuzen naar het simplelogin-verhaal hierboven. Duckduckgo heeft overigens ook de mogelijkheid tjidelijke emailadressen aan te maken.

[Reactie gewijzigd door DikkieDick op 1 augustus 2025 10:58]

DaMonkey @ByteDelight2 augustus 2025 04:14
Klinkt goed, maar neemt weer een deel anonimiteit weg.

Zoals eerder gezegd in de comments, zijn de meeste leaks geen groot issue op zichzelf, maar is het koppelen van gegevens van verschillende leaks het gevaar.

Om dit tegen te gaan ga je verschillende mails gebruiken, bij voorkeur 1 per website, en dat lijkt wat deze dienst aanbiedt.

Maar, het is net omdat veel mensen de domeinnaam (of meerdere) delen, dat deze niet te traceren zijn.

Als morgen iedereen zijn eigen domeinnaam heeft, gaan ze gewoon de leaks linken op basis daarvan, ipv het hele email adres, en ben je terug bij af.

Ik denk dat we het punt van "ieder een eigen domeinnaam" voorbij zijn, dat dit vooral nog nuttig is voor bedrijven om (min of meer) duidelijk te maken dat de klant met hen communiceert, of het makkelijker maakt hen te contacteren, maar dat thuis gebruikers best op diensten zitten met gedeelde domeinen en random adressen.

Helaas is het in de tech populair om startups te hebben die met verlies draaien, hopende dat iemand hen voor veel geld koopt (en een nieuwe random partij die alles met de data kan is niet wat je wilt), naar een veel te duur subscription model gaat (hopende dat je locked in bent) of stoppen. Geen optie die je wilt. En als we het in handen van de overheid leggen gaat het gepaard met super hoge kosten, 20 jaar uitstel en herbeginnen, om nog een onbruikbaar alternatief te hebben... Dus eigenlijk ook geen optie.

Misschien moet het internet eens terug naar een systeem waar je niet voor elke link in je nieuwsfeed een account moet maken en een subscription nemen, zou ook al veel schelen in de clickbait. En verder gaan met single sign on, waarvan ik vind dat het de laatste tijd weer minder gebruikt wordt dan een paar jaar terug, of een andere manier van aanmelden (geen idee hoe).
TV_NERD @JJK1 augustus 2025 09:49
Ik heb "gewoon" 1 spam adres bij Google en gebruik bijvoorbeeld emailadres+websitenaam@gmail.com om me te registeren. Bij Gmail mag je na het +-teken plaatsen wat je wilt. Scheelt weer gedoe en ik hou mijn echte email (2e account) er overzichtelijk mee.
Caayn @TV_NERD1 augustus 2025 09:51
Dat trucje is al zo oud en bekend, plus het is kinderspel om daarbij geautomatiseerd het originele mailadres te achterhalen binnen een lek.

[Reactie gewijzigd door Caayn op 1 augustus 2025 09:53]

jerisson @Caayn2 augustus 2025 09:54
Je kan bij gmail ook punten toevoegen in het deel voor de @.
  • e.mail.adres+websitenaam@gmail.com
  • e.mailadres+website2naam@gmail.com
  • email.a.dres@gmail.com
Zijn allen aliasen voor emailadres@gmail.com

Voor gewone communicatie met kennissen gebruik je email.adres@gmail.com en voor registratie voeg je punten toe, of verplaatst het punt. Dan wordt het al moeilijk om het originele adres te achterhalen: alle punten verwijderen, of geen punten verwijderen, levert immers het foute adres.

Nadeel is wel dat het veel cryptischer is dan de + methode, maar je kan het combineren met de + aanpak als een soort checksum om na te gaan of het + gedeelte gefilterd is of niet.
hiostu @TV_NERD1 augustus 2025 09:54
Met een heel simpele regex expressie kun je hele lijsten met email adressen vervolgens ontdoen van de + tekst. Dit biedt helemaal geen oplossing voor het niet lekken van je email adres
Christoxz @TV_NERD1 augustus 2025 10:01
Bij Gmail mag je na het +-teken plaatsen wat je wilt.
Niet alleen bij Gmail, maar bij heel veel email providers.

https://datatracker.ietf.org/doc/html/rfc5233

[Reactie gewijzigd door Christoxz op 1 augustus 2025 11:40]

moonlander @TV_NERD1 augustus 2025 09:59
En een beetje spammer haalt alles na de + weg..
latka @moonlander1 augustus 2025 10:24
2e account gebruiken en alle mail die binnenkomt zonder + is per definitie spam....
moonlander @latka1 augustus 2025 10:26
Succes, maar in de praktijk gaat dit nooit werken. Ten eerste moet je al een website vinden waar je dit soort mailadressen kunt invoeren, niet elk formulier ondersteund + in een email...
latka @moonlander1 augustus 2025 10:27
Ik gebruik zelf een eigen domein en een minnetje in het email adres. Dat gaat altijd goed.
DennusB @JJK1 augustus 2025 10:08
Gelukkig heeft Apple dit ingebouwd in hun ecosysteem :) Ideaal!
Orthodroom @DennusB1 augustus 2025 10:25
Als het dan goed werkt wel. Maar registreren bij Vinted lukt dus niet. E-mail komt dan gewoon niet aan. Hoe betrouwbaar is het dan?
bapemania @Orthodroom1 augustus 2025 10:37
Ik kan me voorstellen dat Vinted dit actief probeert tegen te gaan. Vanuit jou misschien niet prettig maar er zijn uiteraard ook mensen die deze manier van "anonimiseren" misbruiken om accounts aan te maken op verkoop- sites en diensten om mensen op te lichten.
laptopleon @bapemania1 augustus 2025 22:17
Maar wat schiet Vinted er mee op om dit voor iedereen te blokkeren? Dan maken oplichters alsnog ergens wel een wegwerpmailbox aan.
pbk @JJK1 augustus 2025 09:51
Ik heb de betaalde versie van Proton en daar zit dit standaard in en wordt het ook steeds voorgesteld als je de Pass plugin van Proton hebt geïinstalleerd.
Patjec @pbk1 augustus 2025 10:38
Inderdaad werkt fijn, betaal er ook elke maand 30€ voor met plezier.
pbk @Patjec1 augustus 2025 11:17
Euh 30 euro? Proton unlimited kost 10 euro per maand?
moonlander @JJK1 augustus 2025 10:03
https://www.aliasvault.net/
Bender @JJK1 augustus 2025 10:16
Waarom niet gewoon 1 gmail voor accounts en opdelen met het + karakter?
lenwar
@Bender1 augustus 2025 10:55
Omdat dan je e-mail adres net zo goed te achterhalen is? Als je eenmail die lijst met e-mail adressen hebt, is het één filtertje en de +-spullen eruit te vissen en je bent klaar.
Bender @lenwar1 augustus 2025 11:16
Maar wat maakt het uit als ze een email adres als mijnaccountemailaccount@gmail.com hebben bij wijze van?
lenwar
@Bender1 augustus 2025 11:30
Het idee van zo'n plus-account is toch:

tweakersnet+lenwar@gmail.com
bolcom+lenwar@gmail.com
appelflap+lenwar@gmail.com

Als de 'hackers' dan piholedonatie+lenwar@gmail.com, en ietsrandoms+Bender@gmail.com zien, dan is het toch simpel om lenwar@gmail.com en Bender@gmail.com te extraheren met één druk op de knop? (dus uiteraard niet alleen het plusje eruit, maar het plusje en alles ervoor.)

Dat kun je vrij simpel met een reguliere expressie doen.
Bender @lenwar1 augustus 2025 12:37
Bijna, maar dan andersom:
lenwar+tweakers.net@gmail.com

Ik doe dit zelf ook voor iedere account die ik heb, dan zie ik makkelijk waar een probleem vandaan komt.

Maar stel ze hebben mijn account google email bijvoorbeeld mijnwebsiteaccounts@gmail.com, wat moeten ze met die informatie dan? Want wie of wat is mijnwebsiteaccounts?
lenwar
@Bender1 augustus 2025 12:59
Ah, andersom dus :) Ook goed. Het gaat even om het idee, natuurlijk.

Dit soort lijsten worden gebruikt voor spam/phishing-mailinglists.

Het interesseert ze niet 'wie' ze mailen, ze willen alleen 'actieve e-mail adressen'. En dan zijn die diensten als Simplelogin of wat Apple aanbiedt wel heel praktisch. Want daar kun je gewoon de alias wegknikkeren, zonder dat het een ralatie had met je echt mail adres. Iedereen die je +-alias van gmail een keer in een lijst ziet, kent je 'echte' adres.
Bender @lenwar1 augustus 2025 13:08
Op zich snap ik het nut wel van weggooibare-email adressen, maar het nadeel is dat ieder email adres moet aanmaken. Dat lijkt mij persoonlijk nogal veel gedoe?
lenwar
@Bender1 augustus 2025 13:20
Dat gebeurt dan ook geautomatiseerd, met één druk op de knop van een browser-extensie (of bij Apple direct vanuit het OS). Je moet niet 10 handelingen hoeven doen, dan werkt het inderdaad niet. (en aan de andere kant. Hoeveel keer per week maak je een nieuw account ergens aan.)
kvandijck @lenwar1 augustus 2025 15:48
Of toch je eigen domein en je eigen email server, en dan gaat alles vanzelf.

Het is maar wat je verkiest: ofwel geef je controle uit handen en heb je ooit een probleem, ofwel maak je je handen zelf vuil (dat geeft andere 'problemen' maar je behoud controle)
lenwar
@kvandijck1 augustus 2025 16:12
Ik heb een eigen domein met eigen mailserver, maar ik heb er wel moeite mee om dit in te regelen.
Ik kan natuurlijk wel een catch-all adres doen met een blacklist, maar ik ben niet de enige gebruiker op m'n mailserver. Ik heb een gezin. En ik heb nog geen 'makkelijke/snelle' manier gevonden om met die eigen mailserver een methode te vinden waarmee ik het volgende kan:
  • Met één druk op de knop (remote) een nieuwe alias te laten maken. (gewoon een 'blerf-adres' is prima.)
  • Inclusief de mogelijkheid om 'vanaf' dat e-mailadres te kunnen mailen.
Mocht je wel iets kennen. Ik gebruik Postfix en Dovecot, en heb nul problemen met een webmailapplicatie.
kvandijck @lenwar2 augustus 2025 21:08
Ik heb dezelfde situatie.

Ik gebruikte regexp tables met rules per gezinslid, wat ruimer werkt dan naam+nogiets@domain.

De catchall gaat naar mij en mijn vrouw, dus schoenwinkel@domain komt bij ons beide, niet naar de kinderen
Commendatore @lenwar1 augustus 2025 20:36
Dat hangt er wel een beetje vanaf of je de password manager en de hide-my-email-dienst bij dezelfde partij afneemt. Doe je dat niet, dan zitten er vaak wat meer stappen aan verbonden en moet je extra goed in de gaten houden welke alias bij welke dienst hoort.

[Reactie gewijzigd door Commendatore op 1 augustus 2025 20:39]

meowmofo @JJK1 augustus 2025 11:15
Klinkt als een verstandig plan, een man-in-the-middle op je email.
kvandijck @JJK1 augustus 2025 15:43
Grappig.

Het probleem van online accounts oplossen met ... ern extra online account
slijkie 1 augustus 2025 09:46
Erg leuk dat Pi-Hole de "schuld" legt bij de maker van de plugin, maar het is uiteindelijk Pi-Hole die verantwoordelijk is voor die data. Dat men dan allemaal externe factoren gaat gebruiken (in dit geval plugins) zal de zekerheid van deze gevoelige data niet ten goede doen.
Kazu @slijkie1 augustus 2025 10:08
Ik heb even de oorspronkelijke blogpost en GitHub issue doorgenomen, en beide degraderen ontzettend snel in moddergooien over en weer. In mijn optiek een ontzettend onprofessionele houding van beide kanten. Dit valt me tegen van met name PiHole in dit geval. Ja, ze hadden het niet kunnen weten, maar precies wat je zelf zegt, dit is het risico wat ze hebben genomen door een plugin te gebruiken in een systeem wat sowieso al lang bekend staat om zijn gevoeligheid voor kwetsbaarheden via plugins.
GertMenkel
@Kazu1 augustus 2025 10:24
Nou ja, ik snap het op zich wel van de Pihole-mensen. Ze zijn nu verantwoordelijk voor een datalek (of dat nu door een plugin komt of niet) en de partij die ze in de hand hebben genomen zat openbaar keihard te ontkennen dat er een probleem was tot het tegendeel bewezen was. De vage statements van de pluginmakers zijn niet bepaald vertrouwenswekkend. Als ik ze zou betalen voor support, zou ik ook boos zijn.

Dit is een bug van het niveau "iedere betalende klant zou direct een mail moeten ontvangen zodat ze kunnen patchen en het datalek kunnen melden". In plaats daarvan zijn ze twee dagen na het releasen van de patch nog steeds "van plan" om een massa-mail de deur uit te doen. Ook beweren ze dat "there's no evidence that the exposure of emails that happened here has been linked to any real-world exploitation" terwijl iedereen die de HTML inkijkt, het lek al exploit. De Wayback machine staat nu vol met datalekken.
Orangelights23 @GertMenkel1 augustus 2025 10:32
Daarom is due diligence zo belangrijk en monitoring van je leveranciers.
Orangelights23 @dez11de1 augustus 2025 12:28
Gek he :) Toch betalen bedrijven in Europa mij een zeer goed uurtarief om dit soort dingen als CISO op te knappen. Beursgenoteerde bedrijven die geen controle hebben over hun data en inzicht in hun leveranciers…
Orangelights23 @dez11de1 augustus 2025 13:06
Zeker, succes gewenst!
kodak
@Kazu1 augustus 2025 14:04
Ja, ze hadden het niet kunnen weten,
Ze hadden het op meerdere manieren kunnen weten. Bijvoorbeeld door vooraf de software te analyseren. Dat ze dat kennelijk niet gedaan hebben wijzigt het niet.

En men had het ook kunnen proberen te weten door bijvoorbeeld te eisen dat de makers aantoonbaar hun code hebben laten controleren op dit soort beveiligingsfouten. Maar zelfs daar lees ik niets over terug.

Met veel eigen verantwoordelijkheid komt ook veel plicht om zelf vooraf problemen te voorkomen. Naast het afschuiven is dus ook de vraag wat men allemaal zelf nagelaten heeft. En daar kunnen die ruim 30.000 donateurs prima eens massaal vragen over gaan stellen. Zeker bij een groep die stelt privacy respecting software belangrijk te vinden en het dan zelf niet laat blijken.
Hakker @slijkie1 augustus 2025 10:19
Omdat de schuld ook ligt bij de maker van de plugin. Dan had de issue al doorgegeven waarna GiveWP/Impress gewoon deed alsof hun neus bloedde. Tot gisteren heeft GiveWP/Impress iig zelfs geen email de deur uit gedaan dat de lek in hun software zat, Dat is dus minstens 48 uur nadat men er vanaf wist.

Het probleem is niet eens dat er fout was want dat kan gebeuren maar het probleem is HOE men met het probleem is omgegaan. Gewoon de kop in het zand steken. En het is niet zo dat we het hebben over een stel vrijwilligers die aan een project werken Impress is gewoon een commercieel bedrijf.
kodak
@Hakker1 augustus 2025 14:23
Het probleem is niet eens dat er fout was want dat kan gebeuren
Dat staat haaks op de plicht om dit soort fouten te moeten voorkomen. Dat een fout kan bestaan is juist een reden dat er de wettelijke plicht is om als verantwoordelijk ook zelf vooraf behoorlijke moeite te tonen zowel technisch als organisatorisch deze fouten tegen te gaan. Doe je dat onvoldoende tot niet, dan is dat samen met de fout een groot probleem. Ik lees niet dat pi hole daar zelf vooraf behoorlijke moeite in heeft gestoken.
GrooV @slijkie1 augustus 2025 10:25
Pi-Hole is misschien verantwoordelijk voor de data maar de schuld ligt natuurlijk bij de plugin owner. Daar zit gewoon een bedrijf achter die het nu lopen te bagatelliseren
Coolstart @slijkie1 augustus 2025 11:17
Wel een rare redenering. Ten eerste, schuld en verantwoordelijkheid zijn twee verschillende zaken. Natuurlijk kunnen ze de schuld ergens anders leggen als ze verantwoordelijk zijn. In dit geval bleek dat GiveWP de namen en emailadressen gewoon in Plain tekst in de client-side code had staan omdat Donor wall feature niet beveiligd was.

Dan heb je nog het feit dat ze externe diensten gebruiken. Daar is niets mis mee. Ze gebruiken waarschijnlijk ook Stripe om de betalingen te managen.

De plugins in Wordpress zijn niet gevoeliger voor lekken dan andere code die je inkoopt of installeerd op Node.js zoals de npm-pakketten. Dit is inherent aan het bouwen van complexe websites of services.

Dus uw redenering houd geen steek.

GiveWP geeft donateurs de mogelijkheid om hun geschiedenis te raadplegen en lopende wederkerende donaties te beheren (Wp user) Dus die data wissen is gewoon raar.

GiveWP heeft gewoon de donor wall verkeerd opgeroepen zodat alle donateurs met naam en email (hun wp-admin gegevens) online stonden. En niet enkel van Pihole maar iedereen die deze software gebruikt had het zelfde probleem. Dus je kan al raden hoe groot het lek was.

[Reactie gewijzigd door Coolstart op 1 augustus 2025 11:18]

iRobbery @slijkie1 augustus 2025 10:14
Ik heb hem ooit, jaren terug, gemaild over het klakkeloos kopiëren van ip en url lijsten van andere bronnen zonder controle of iets wel geblokt of niet moest worden. Nou dat was ook niet zo belangrijk.
donkerlicht @iRobbery1 augustus 2025 10:27
Wat voor een controle zou je willen hebben dan? Het lijkt mij dat je als gebruiker wilt dat er geen onoorbare ip's instaan, en dus zelf zou moeten controleren. Dat wil je niet bij een externe partik neerleggen. Vroeger veranderde ik zelf de ip's naar iets binnen mijn eigen netwerk voor het netjes afhandelen van de geblokkeerde (sub)domeinen.

Tegenwoordig bestaat mijn blokkadelijst uit .* waardoor initieel dus alles geblokkeerd wordt. De (sub)domeinen die ik dan wil bereiken zet ik in de toegestane lijst.
iRobbery @donkerlicht1 augustus 2025 13:22
Nou niet klakkeloos kopiëren, dat is wat ik zou willen zien. Direct de externe bronnen gebruiken zodat inderdaad als een ip/url van de lijst is, je niet hoeft te wachten tot pi-hole een nieuwe kopie heeft gemaakt. Misschien is dat ondertussen verandert. Ik heb het zelf nooit zo'n heel interessant project gevonden.

Ik gebruik ook de alles is blacklisted tot ik het whitelist approach, maar dan mbv o.a. littlesnitch. En unbound met custom blacklists voor de dommeren netwerk devices, e.g. tv.
Pietervs @iRobbery1 augustus 2025 12:39
Dat is ook niet belangrijk: als er een IP adres ten onrechte op de lijst staat kan dat gemeld worden bij degene die die lijst gemaakt heeft. En tot het gefixed is kan het adres worden toegevoegd aan de whitelist.

Dat is van heel andere orde dan een lek waarmee data gestolen kan worden, zoals alle e-mail-adressen van donateurs.
jcbvm 1 augustus 2025 09:49
Je vraagt je dan eigenlijk af, waarom wordt deze info überhaupt bewaard?
jpsch @jcbvm1 augustus 2025 10:00
Marketing, boekhouding.
Finraziel @jpsch1 augustus 2025 10:07
Waarom het bewaard blijft snap ik wel... Maar waarom op het internet facing systeem dat nieuwe donaties verwerkt? Dat dat een log van x dagen heeft begrijp ik maar langdurig opslaan zou elders moeten gebeuren lijkt mij.
Robbierut4 @jcbvm1 augustus 2025 10:02
Het is makkelijker/goedkoper om data oneindig te bewaren. Als je het wil verwijderen moet je gaan nadenken wanneer dan, hoe dan, etc. Veel te moeilijk.
Bender @jcbvm1 augustus 2025 10:16
Mogelijk moet je informatie van donateurs bewaren, net zoals we in Nederland een administratieve verplichting hebben.
Christoxz @jcbvm1 augustus 2025 10:04
The email address is used purely so donors can look up past donations or manage (cancel) ongoing donations.
Aldus Dan.

Je kan bijvoorbeeld maandelijks doneren.
Lord Anubis @jcbvm1 augustus 2025 10:45
in nederland iig belasting technisch.

maar ook om te checken of het een wederkerende persoon is met een periodieke gift.

Uiteraard kan je de data ergens opzij zetten maar dan wordt het controleren moeilijker.

[Reactie gewijzigd door Lord Anubis op 1 augustus 2025 10:46]

Coolstart @jcbvm1 augustus 2025 11:20
Donateurs beheren zo hun donaties. Sommige zijn wederkerig zoals elke maand een bedrag. Je kan donaties ook inbrengen in de belastingen.

Jij kan toch ook uw verkoopsgeschiedenis zien op een webshop??
jcbvm @Coolstart1 augustus 2025 11:40
Maar daarvoor hoef je ze toch niet oneindig te bewaren? Ik weet ook niet in hoeverre je het e-mailadres daarvoor hoeft te bewaren. Desnoods zouden ze een hash van het e-mailadres kunnen opslaan om te kijken of je wederkerend bent.
InfiniteSpaze 1 augustus 2025 09:55
Aan de ene kant vind ik WordPress heerlijk werken en aan de andere kant zijn er gevallen zoals dit. Het is zo eenvoudig om een uitgebreide website te bouwen die je redelijk kan personaliseren. Maar het nadeel is dat het zo'n grote "Walled Garden" is waar iedere plugin die gratis is niet betrouwbaar is of je komt er later pas achter dat je er toch voor moet betalen. Als je ergens voor betaald dan is het weer een subscription erbij i.p.v. dat je een bibliotheek aan tools opbouwt, is het meer een zak aan subscriptions die je jaarlijks moet managen.

En dan heb je ook nog eens dit. Ik had wel van Pi-Hole verwacht dat ze echt wel hun onderzoek zouden doen in wat het veiligst is voor degenen die hun ondersteunen. Zoals @JJK aangeeft. Gebruik een emailmask zoals Addy.io om zo jouw emailadres te beschermen. Want blijkbaar maken zelfs bedrijven wiens USP privacy is fouten.
cricque @InfiniteSpaze1 augustus 2025 10:08
Wordpress is de bagger van het internet in mijn ogen. Leuk voor tuin/keuken gebruik en daar stopt het. Als je iets serieuzer wilt, dan blijf je ver hier van weg. En nee niet iedereen kan custom dingen bouwen en dat ook veilig doen, maar dat pihole zo een el cheapo oplossing gebruikt, snam ik echt niet
Bender @cricque1 augustus 2025 10:19
En waarom is het bagger?

Je kunt ieder framework voor huis, tuin en keuken gebruik toepassen, en ook die zijn niet heilig als je met onvoldoende kennis aan de slag gaat.
cricque @Bender1 augustus 2025 11:23
Het is 1 grote zeef, en van een app van mij zie ik veel hackpogingen en "tests alla bestaat deze file" en 85% is gewoon wordpress crap dat er tussenzit.
Bender @cricque1 augustus 2025 12:34
Of een file bestaat zegt echt helemaal niks of iets 'bagger' is.
Heb je ook een argument waarom je Wordpress zelf bagger vindt?
OGrasmachien @Bender1 augustus 2025 19:15
Het is een veredeld blog platform. Door middel van plugins gaan zogezegde web developers een corporate website bouwen die met haken en ogen aan elkaar hangt. Op zich is dat zeker niet de fout van Wordpress of de bouwers van de plugins. Als je een website bouwt heb je de verantwoordelijkheid om dat correct te doen. En als je voor een simpele website al meteen 10 of meer plugins moet installeren stel je je automatisch open voor dit soort risico’s.

Reken daarbij nog eens dat het platform enorm populair is en dat maakt het het ideale doelwit voor hackers. Ik zie ook enorm veel pogingen van bots op onze, niet Wordpress, websites waarbij ze de gangbare kwetsbare url’s proberen te vinden. Vooral zijn dat Wordpress unieke url’s.

Daarnaast trekt het platform ook een heleboel gierige klanten aan die weinig budget over hebben voor een degelijke website. Ze denken dat alles magisch bij elkaar geklikt kan worden met plugins. En zo krijg je een website met +50 plugins die enorm traag is.

Daarnaast wil ik ook wel gezegd hebben dat er wel degelijk developers bestaan die kwalitatieve Wordpress websites bouwen maar die zijn zeer zeldzaam.
Bender @OGrasmachien4 augustus 2025 09:59
Volgens die logica is Tweakers ook een veredeld blog websiteje, maar dat is het toch allang niet meer..

Ieder platform met slechte programmeurs is een probleem, dus waarom zou het bij Wordpress anders zijn dan Laravel...
OGrasmachien @Bender4 augustus 2025 17:10
Tweakers past dan toch mooi bij de core van Wordpress?

Je hebt inderdaad overal slechte developers, maar bij Wordpress is dat eerder de regel dan de uitzondering.
welmers @Bender1 augustus 2025 12:18
In dit specifieke geval, is een lijst met persoonsgegevens uit de hele database rechtstreeks in de html van de site gezet. Dat is een beginnersfout, en best wel bagger.
Bender @welmers1 augustus 2025 12:35
Maar dat heeft niet veel met Wordpress zelf te maken, maar met de plugin die dit op die manier ontwikkeld heeft.
InfiniteSpaze @cricque1 augustus 2025 10:19
Ik begrijp je punt hoor. Ik kan mezelf daarom ook geen webbouwer noemen. Maar aangezien iedereen het doet vind ik het zonde om een klant te laten schieten voor iets dat makkelijk verdient is. Maar je hebt gelijk. Vanuit mijn designers perspectief lijken zoveel sites op elkaar en je ziet gelijk dat het WordPress is. Maar klanten die willen heel graag wat hun concurrent ook heeft. Maakt niet uit hoe erg ik ze in een originele richting op probeer te duwen, ze kiezen altijd voor iets waar ze het meest comfortabel mee zijn.
cricque @InfiniteSpaze1 augustus 2025 11:22
Ik ben jaren geleden gestopt met web development, want X doet het goedkoper. Goed voor jou. En als ik nog iets maak, dan is het geen eenheidsmeuk. Wat ik wel zie bij klanten van mjin saas app bijvoorbeeld is dat ze denken dat ze iets uniek hebben en dan moet ik hun teleurstellen dat het template X in WP is. En de prijzen die ze er dan voor betalen is gewoon niet begrijpbaar
InfiniteSpaze @cricque1 augustus 2025 11:51
het is niet dat ik het vast doe hoor. Ik heb een vaste baan en heel soms maak ik een website voor een ander. Maar iedere keer als ik weer terug ga naar WordPress ontdek ik veel meer dingen waar ik niet echt achter sta. Zelfs ik, iemand met de basiskennis van html en css kan zien dat er gigantisch veel bloat in WordPress zit. Een pagina zonder alles wat WP genereert ziet er zoveel strakker uit en voelt ook veel beter.
arjan1995 @cricque1 augustus 2025 10:58
maar dat pihole zo een el cheapo oplossing gebruikt, snam ik echt niet
... omdat de donatie pagina misschien niet hun core business is?

Ik kan me zomaar voorstellen dat ze het meeste van hun tijd in de pi-hole software zelf willen stoppen, en dat de website maar 'voor erbij' is. En er dus snel en met weinig onderhoud moet zijn.
welmers @cricque1 augustus 2025 12:45
Eens. Ik heb vanuit mijn werk met diverse Wordpress sites in aanraking geweest en de kwaliteit, zeker van de plugins, is vaak uitermate teleurstellend.

Paar voorbeelden:
- Integraties schrijven op WooCommerce, veel gebruikte ecommerce plugin van Wordpress, is altijd drama door de slechte design keuzes in het datamodel en de code
- Heel veel plugins dumpen files met gevoelige gegevens in een subdirectory in de public documentroot directory. Zal vast dichtgezet worden met .htaccess maar dit is gewoon een hele slechte gewoonte.
- Met veel plugins valt de site vaak om als je een Wordpress upgrade doet. Met geluk werkt er iets niet, met pech is de hele site een blanko pagina geworden.

Wordpress heeft zeker z'n nut en sterke kanten, maar ik beveel altijd aan om het bij een simpele site te houden met zo min mogelijk plugins.
aikebah @welmers1 augustus 2025 21:16
WooCommerce dat is idd een typisch voorbeeld van wat er is misgegaan bij WordPress... wie bouwt er nou een complete webshop met een blogging-framework.

WordPress dat is die hamer waarmee je

- de schroef in de muur slaat

- een deel van de plank afslaat bij gebrek aan een zaag (en dan verbaasd bent dat zo moeilijk gaat en die scheur niet mooi vlak is)

- de kruiden tot moes slaat bij gebrek aan een vijzel

- de toetsen op je toetsenbord beroert, want he.. dat kan ook met een hamer ipv met je vingers

- af en toe nog eens een keer een echte hamer-job mee doet zoals bijvoorbeeld een spijker ergens inslaan of een beitel het hout in tikken
SMGGM 1 augustus 2025 09:50
Dit zijn de redenen waarom een wet als GDPR bestaat. Waarom moet een bedrijf in hemelsnaam de email adressen bijhouden van al de mensen die ooit een donatie hebben gedaan? Hoort een bedrijf niet fatsoenlijk na te denken om die data eens te wissen zo nu en dan om de schade van zo'n gevallen tot minimaliseren? Waarom hoort dit gewoon al in een actieve databank te zitten?
Christoxz @SMGGM1 augustus 2025 10:05
Je kan ook maandelijks doneren bij PiHole, je email address is dan de identifier om je donaties te beheren en ook inzage te krijgen van eerdere donaties.
Zo gek is het niet..
O085105116N @Christoxz1 augustus 2025 10:17
Dat is geen antwoord op de vraag. Althans niet compleet. Ik heb 1x gedoneerd. Mijn email adres is ook gelekt. Ben geen terugkerende betalen en dat is jaren geleden. Ik gebruik geen pihole meer overigens.
Christoxz @O085105116N1 augustus 2025 10:22
Op zich wel.
Waarom moet een bedrijf in hemelsnaam de email adressen bijhouden van al de mensen die ooit een donatie hebben gedaan?
Omdat PiHole blijkaar fijn vond dat donateurs hun eerdere donaties in kunnen zien.
The email address is used purely so donors can look up past donations or manage (cancel) ongoing donations
Of het slim is, of het beter had gemoeten, is in mijn reactie niet aan de orde.
O085105116N @Christoxz1 augustus 2025 13:10
Ja. Ik wilde ook helemaal niet op jou reageren :-). Anyway. Er zijn andere manieren om donaties in te zien. Ik vermoed dat die van mij via pp is gegaan, daarna ben ik het vergeten. Ik had dus eigenlijk moeten vragen om mijn gegevens te wissen bij pihole? GDPR?
SMGGM @Christoxz1 augustus 2025 13:48
En dat is prima te rechtvaardigen, maar dat neemt niet weg dat je volgens de GDPR wetgeving moet nadenken over hoe je met de data zal omgaan.

Als ik het zo lees zijn al de gegevens op straat van iedereen die ooit een donatie heeft gedaan. Hoe lang hebben ze die plugin dan al? Is het gerechtvaardigd om data bij te houden van iemand die 3 jaar geleden een eenmalige donatie heeft gedaan? Daar moet je volgens de GDPR wetgeving over nadenken en als er geen te rechtvaardigen reden is, dan moet je die data anoniem maken.

Mijn inziens lijkt hier niet goed over nagedacht. Is het te verantwoorden om al de gegevens van al je donaties bij te houden. Mijn inziens is dit niet.

Bij ons wordt de data van een klant die de klantrelatie stopzet anoniem gemaakt na 3 maand omdat het moeilijk te verantwoorden is om zoiets langer bij te houden. Uiteraard bewaren we bepaalde dingen langer (zoals contracten, facturen...) maar niet meer waar veel medewerkers met standaard rechten aan kunnen (zoals support, marketing...) om risico's op "oeps foutje gemaakt" (of net lekken) te beperken.

[Reactie gewijzigd door SMGGM op 1 augustus 2025 14:01]

pbk @SMGGM1 augustus 2025 09:53
Mogelijk om nog een keer een herinnering te sturen voor een nieuwe donatie? Zijn er volgens mij meer die dat zo doen (bv. WIkipedia?). Maar waarschijnlijk heb je daarbij dan wel een vinkje gezet dat je ze opnieuw mogen benaderen.
Die_ene_gast 1 augustus 2025 10:07
De ontwikkelaars van Pi-Hole leggen de schuld bij de maker van die plug-in
Dat is leuk voor ze, maar zij blijven degene die de service gebruiken. Als ik mijn auto naar een dealer breng voor onderhoud en de monteur maakt wat kapot, dan spreek ik daar de dealer op aan, niet de monteur in kwestie.
gorgi_19 1 augustus 2025 10:27
Het is een plugin, open source waar actief aan ontwikkeld wordt. Je kan ze verwijten dat ze geen security.md hebben opgenomen, waarin een responsible disclosure method genoemd staat.

Een vrij serieuze security weakness is vervolgens publiek gepost. Binnen 1 dag is er op gereageerd en een patch uitgebracht, een toelichting gegeven wat er is gebeurd. Blogs gemaakt, social media gepost.

Ze hadden nog een formele mailing eruit kunnen sturen.

Maar met het publiek worden van het issue, met toelichting, konden ze weinig anders meer doen dan ze nu gehandeld hadden, en dat zullen ze waarschijnlijk ook zelf geweten hebben.
Bongoarnhem 1 augustus 2025 10:25
Als ik het stuk lees wordt het me niet duidelijk of de mailadressen nu ook echt zijn gestolen.

Het lijkt er eerder op dat de mogelijkheid bestond om ze te stelen.


Waaruit blijkt dat ze gestolen zijn?
DjoeC @Bongoarnhem1 augustus 2025 10:48
Zie verschillende reacties op reddit van personen die op een uniek Pihole adres spam van zogenaamd Nordea Bank hebben ontvangen.

O ja, als extra een tip: Als je een eigen domein hebt, meld je dan aan bij haveibeenpwnd als domain eigenaar. Dan krijg je een melding zodra er een nieuw lek wordt toegevoegd met een mailadres op je eigen domein.

[Reactie gewijzigd door DjoeC op 1 augustus 2025 10:52]

Bongoarnhem @DjoeC1 augustus 2025 11:01
Jammer dat het niet uit het bericht blijkt, het zou toch ook daarin moeten staan.


Ik heb destijds ook gedoneerd, ik zal er scherp op zijn. Bedankt voor je reactie.
arjan1995 @Bongoarnhem1 augustus 2025 11:02
Er zijn mensen op hun forum en op reddit die aangaven dat ze een eenmalig / uniek emailadres voor de pi-hole donatie hadden gebruikt, en nu spam daarop krijgen.

Bijvoorbeeld deze en deze.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq