Les utilisateurs de Plex, qui utilisent le service pour gérer et diffuser leurs bibliothèques multimédias à la maison, doivent changer leur les mots de passe dès que possible, en raison d'une violation de données vidant les informations d'identification des utilisateurs entre les mains d'un tiers faire la fête.
Qu'est-ce que la violation de données Plex ?
Les titulaires de compte ont été alertés de la violation par e-mail tôt le mercredi 24 août 2022, un jour après que l'équipe de sécurité de Plex a remarqué une activité suspecte dans leur base de données. Selon l'organisation, le tiers a pu "accéder à un sous-ensemble limité de données comprenant des e-mails, des noms d'utilisateur et des mots de passe cryptés". La déclaration expliquée plus en détail:
"Même si tous les mots de passe de compte auxquels on aurait pu accéder ont été hachés et sécurisés conformément à bonnes pratiques, par prudence, nous exigeons que tous les comptes Plex aient leur mot de passe réinitialiser"
Pour ceux qui ne sont pas au courant, Plex facilite l'auto-hébergement d'un centre multimédia complet par eux-mêmes matériel et diffuser de la musique, des films, des émissions et la télévision en direct sur d'autres appareils via un navigateur Web et applications dédiées.
contrairement à d'autres logiciel de serveur multimédia auto-hébergé, tel que Jellyfin, Plex exige que les utilisateurs créent un compte, les informations d'identification étant stockées par l'organisation. L'authentification est également gérée par Plex Central plutôt que par le propre serveur de l'utilisateur.
Bien qu'il soit extrêmement peu probable que les pirates puissent utiliser les mots de passe stockés, Plex est à la fois "exiger" et "demander gentiment" que chaque utilisateur réinitialise immédiatement son mot de passe et prenne une sécurité supplémentaire précautions.
Ce que vous devez faire après le piratage de Plex
Changer les mots de passe est le moyen sensé pour les utilisateurs de sécuriser leur compte Plex. Vous devrez également vous déconnecter de tous les appareils connectés, puis vous reconnecter. Plex suggère et demande également que vous activiez authentification à deux facteurs sur votre compte Plex.
Bien que les méthodes de paiement ne soient jamais stockées sur les serveurs Plex et que vos mots de passe soient Probablement sûrs parce qu'ils étaient cryptés, il convient de noter que l'e-mail de sécurité n'indiquait pas que les noms d'utilisateur et les adresses e-mail étaient protégés de quelque manière que ce soit. Les attaquants peuvent faire beaucoup avec votre adresse e-mail, donc si vous utilisez cette adresse e-mail pour un autre service, cela vaut la peine de la changer. Vous pouvez également examiner une sorte de solution d'aliasing pour les inscriptions et les connexions.
Et bien que nous conseillions que personne n'utilise le même mot de passe sur plusieurs services, nous savons également que la grande majorité des gens le font de toute façon. Considérez ce mot de passe compromis. Donc, si vous le réutilisez sur un autre compte, vous devez également le modifier là-bas.
Les violations de données se produisent tout le temps
Plex n'est certainement pas la première entreprise ou organisation à déclarer une violation de données suite à une fuite d'adresses e-mail, de noms d'utilisateur et de mots de passe hachés, et ce ne sera pas la dernière. Assurez-vous de prendre soin de vos informations d'identification et de les vérifier régulièrement par rapport à des bases de données telles que HaveIBeenPwned.