Plex ha confermato un nuovo incidente di sicurezza in cui una parte non autorizzata ha ottenuto l’accesso a uno dei suoi database, esponendo un sottoinsieme di dati dei clienti. La società ha affermato che la violazione è stata rapidamente contenuta, ma ha consigliato a tutti gli utenti di reimpostare le loro password.
Quali informazioni sono state esposte nella violazione dei dati del plex?
Secondo la notifica di Plex, l’attaccante ha accettato:
- Indirizzi e -mail
- Nomi utente
- Password hash in modo sicuro
Plex ha sottolineato che le password sono state hash seguendo le migliori pratiche del settore, rendendole illeggibili con l’attaccante. Tuttavia, la società non ha rivelato quale algoritmo di hashing è stato utilizzato, lasciando aperto la possibilità di tentativi di cracking della forza bruta.
Passaggi che gli utenti dovrebbero prendere
Plex richiede a tutti i clienti di reimpostare le loro password plex.tv/reset. Durante il ripristino, gli utenti dovrebbero selezionare “Descrivi i dispositivi connessi dopo la modifica della password” terminare sessioni esistenti e prevenire l’accesso non autorizzato.
Ulteriori consigli includono:
- Utenti di accesso singolo: Disconnettersi da tutte le sessioni tramite plex.tv/security e reautenica con le credenziali SSO.
- Abilita autenticazione a due fattori (2FA): Aggiunge protezione anche se una password è compromessa.
- Rimanere vigile: Plex ha sottolineato che non richiederà mai password o dettagli di pagamento via e -mail.
La società ha chiarito che le informazioni sulla carta di pagamento non erano a rischio, poiché Plex non memorizza questi dati.
Risposta e contesto dell’azienda
Plex ha dichiarato di aver risolto la vulnerabilità sfruttata nell’attacco ma non ha condiviso i dettagli tecnici della violazione o delle sue fasi di risanamento.
Questo è il secondo importante problema di sicurezza riportato da Plex negli ultimi anni. Una violazione del 2022 ha esposto in modo simile nomi utente, e -mail e password hash, spingendo un’altra ondata di reimpostazioni di password obbligatorie.
