Plex potwierdził nowy incydent bezpieczeństwa, w którym nieautoryzowana strona uzyskała dostęp do jednej z swoich baz danych, ujawniając podzbiór danych klientów. Firma powiedziała, że naruszenie zostało szybko zawarte, ale doradziła wszystkim użytkownikom zresetowania haseł.
Jakie informacje zostały ujawnione w naruszeniu danych Plex?
Zgodnie z powiadomieniem Plexa dostęp do atakującego:
- Adresy e -mail
- Nazwy użytkowników
- Bezpiecznie hashed hasła
Plex podkreślił, że hasła zostały skazane zgodnie z najlepszymi praktykami branżowymi, co czyni je nieczytelnymi dla atakującego. Jednak firma nie ujawniła, który algorytm mieszania został użyty, pozostawiając otwarte możliwość pękania brutalnej siły.
Kroki powinni podjąć użytkownicy
Plex wymaga od wszystkich klientów zresetowania haseł plex.tv/reset. Podczas resetowania użytkownicy powinni wybrać „Wypisz podłączone urządzenia po zmianie hasła” zakończyć istniejące sesje i zapobiec nieautoryzowanemu dostępowi.
Dodatkowe zalecenia obejmują:
- Użytkownicy pojedynczej logowania: Wyloguj się ze wszystkich sesji przez plex.tv/Security i ponowić realizację poświadczeń SSO.
- Włącz uwierzytelnianie dwuskładnikowe (2FA): Dodaje ochronę, nawet jeśli hasło jest zagrożone.
- Zachowaj czujność: Plex podkreślił, że nigdy nie będzie żądał haseł ani szczegółów płatności za pośrednictwem poczty elektronicznej.
Firma wyjaśniła, że informacje o karcie płatniczej nie były zagrożone, ponieważ Plex nie przechowuje tych danych.
Odpowiedź i kontekst firmy
Plex stwierdził, że naprawił podatność wykorzystywaną w ataku, ale nie podzielił szczegółów technicznych naruszenia lub jego etapów naprawy.
Jest to drugi poważny problem bezpieczeństwa zgłoszony przez Plex w ostatnich latach. Naruszenie w 2022 r. Podobnie odsłonięte nazwy użytkowników, e -maili i hasła hasła, co skłoniło kolejną falę obowiązkowych resetowania haseł.
