Gebruikersnamen, e-mailadressen en versleutelde wachtwoorden zijn vrijgegeven als gevolg van een Plex-datalek. De omvang van de inbreuk op de beveiliging is onbekend, maar het bedrijf verplicht wachtwoordwijzigingen voor alle gebruikers.
Plex het onvermogen van servers om de hoeveelheid gebruikers aan te kunnen die ze willen gebruiken, samen met een groot aantal andere problemen, maakten de situatie gecompliceerd.
Plex-datalek is bevestigd
Vanmorgen heeft Plex alle gebruikers per e-mail gemaild om hen te laten weten dat “een kleine subset van gegevens” toegankelijk was voor een derde partij, hoewel niet werd gespecificeerd hoeveel accounts werden getroffen.
“We willen dat je gisteren op de hoogte bent van een incident met je Plex-accountgegevens. Hoewel we van mening zijn dat de daadwerkelijke impact van dit incident beperkt is, willen we ervoor zorgen dat u over de juiste informatie en hulpmiddelen beschikt om uw account veilig te houden.
Gisteren ontdekten we verdachte activiteit in een van onze databases. We zijn onmiddellijk een onderzoek begonnen en het lijkt erop dat een derde partij toegang had tot een beperkte subset van gegevens, waaronder e-mails, gebruikersnamen en versleutelde wachtwoorden. Hoewel alle accountwachtwoorden waartoe toegang had kunnen worden verkregen, zijn gehasht en beveiligd in overeenstemming met best practices, eisen we uit voorzorg dat alle Plex-accounts hun wachtwoord opnieuw moeten instellen. U kunt erop vertrouwen dat creditcard- en andere betalingsgegevens helemaal niet op onze servers worden opgeslagen en niet kwetsbaar waren bij dit incident.
We hebben de methode die deze derde partij heeft gebruikt om toegang tot het systeem te krijgen al besproken en we doen aanvullende beoordelingen om ervoor te zorgen dat de beveiliging van al onze systemen verder wordt versterkt om toekomstige invallen te voorkomen. Hoewel de accountwachtwoorden zijn beveiligd in overeenstemming met best practices, eisen we dat alle Plex-gebruikers hun wachtwoord opnieuw instellen.
Om een lang verhaal kort te maken, we verzoeken u vriendelijk om het wachtwoord van uw Plex-account onmiddellijk opnieuw in te stellen. Wanneer u dit doet, is er een selectievakje om ‘Verbonden apparaten af te melden na wachtwoordwijziging’. Hiermee worden bovendien al uw apparaten uitgelogd (inclusief elke Plex Media Server die u bezit) en moet u zich opnieuw aanmelden met uw nieuwe wachtwoord. Dit is vervelend, maar we raden u aan dit te doen voor meer veiligheid. We hebben een ondersteuningsartikel gemaakt met stapsgewijze instructies voor het opnieuw instellen van uw wachtwoord hier.
Wachtwoordwijzigingen waren op het moment van schrijven niet vereist. Sommigen van hen die een poging wagen, claim dat ze niet zijn geslaagd.
“Kan wachtwoord niet wijzigen vanwege interne serverfout”
“Ik ging door en logde in op mijn account om mijn wachtwoord te wijzigen. Punt is, dat werkte niet. Ik heb het een paar keer geprobeerd, maar wanneer ik het formulier voor het wijzigen van het wachtwoord verzend, blijft daar ongeveer 30 seconden hangen met een ronddraaiend pictogram, dan krijg ik ‘Interne serverfout’. Er is iets misgegaan aan onze kant.’”
“Ik krijg ook een interne serverfout (500) als reactie wanneer ik de functie voor het opnieuw instellen van het wachtwoord probeer te gebruiken en me afmeld bij alle aangesloten apparaten.”
Andere mensen hebben problemen om opnieuw in te loggen, ook al konden ze hun wachtwoord wijzigen. Voor hun eigen servers beweren veel gebruikers berichten te ontvangen zoals ‘Niet geautoriseerd’ of ‘U hebt geen toegang tot deze server’. Terwijl sommigen succes hebben gehad na het inloggen en het terugwinnen van de server, hebben anderen dat niet.
Het lijkt erop dat Plex niet genoeg extra bandbreedte heeft ingesteld om de razernij van wachtwoordwijzigingspogingen aan te kunnen. Bovendien vraagt de pagina voor het opnieuw instellen van het wachtwoord onverwacht om het nieuwe wachtwoord vóór het oude, wat de oorzaak kan zijn van enkele fouten.
Het instellen van tweefactorauthenticatie in uw accountinstellingen is iets dat Plex adviseert. Houd er rekening mee dat 2FA niet beschikbaar is als je je hebt geregistreerd met een Google-account of een ander account in plaats van je e-mailadres.
Naast excuses voor het Plex-datalek, verklaarde het bedrijf dat het nu zijn beveiliging onderzoekt.
Het is de moeite waard om een paar uur te wachten voordat je het opnieuw probeert als je geen toegang hebt tot je account of je wachtwoord niet kunt wijzigen (op voorwaarde dat je sterke, unieke wachtwoorden gebruikt die toegang tot een van je andere accounts voorkomen in het geval van een inbreuk ).
Toen een Universal Watchlist-functie werd ontdekt om kinderen toegang te geven tot verboden inhoud, kwam Plex voor het laatst in april in controverse. Als je het platform nog niet hebt uitgeprobeerd, bekijk dan onze gids die laat zien hoe je een multimediaserver maakt met Plex.
Source: Plex datalek: e-mails en wachtwoorden zijn zichtbaar
