Die Streaming-Media-Plattform Plex hat eine Datenschutzverletzung bestätigt und warnt Benutzer, ihre Passwörter zu ändern.
Plex sagte, es habe die Kompromittierung am Dienstag entdeckt und festgestellt, dass der Eindringling auf „eine begrenzte Teilmenge von Daten zugegriffen habe, die E-Mails, Benutzernamen und verschlüsselte Passwörter umfasst“. Plex sagte, dass Passwörter gehasht werden – im Wesentlichen so verschlüsselt, dass sie für Menschen unlesbar sind –, sagte aber nicht, welche Art von Hash-Algorithmus verwendet wurde, da einige ältere oder schwächere Algorithmen besiegt werden können, um Benutzerpasswörter preiszugeben. Plex sagte, dass Kreditkarten- und Zahlungsdaten nicht auf seinen Servern gespeichert werden.
Plex ist eine der größten Media-Streaming-Apps, die es Benutzern ermöglicht, Filme und Live-Fernsehen sowie ihre eigenen Audio-, Video- und Fotodateien zu streamen, die auf ihren eigenen Heimmedienservern gehostet werden. Im vergangenen Jahr hatte Plex mehr als 25 Millionen registrierte Benutzer.
Es ist nicht klar, wie viele Benutzer von der Datenschutzverletzung betroffen sind, aber Plex fordert alle Benutzer auf, ihre eigenen Passwörter zurückzusetzen. Nachdem Plex die Benutzer über Nacht per E-Mail über die Verletzung informiert hatte, sagten einige, dass ihre Passwort zurücksetzen funktionierte nicht oder beim Versuch, sich von anderen verbundenen Geräten abzumelden, Fehler ausgegeben.
Plex sagte in seiner E-Mail an Kunden, dass es „bereits die Methode angesprochen hat, die dieser Drittanbieter verwendet hat, um Zugriff auf das System zu erhalten, und wir führen zusätzliche Überprüfungen durch, um sicherzustellen, dass die Sicherheit aller unserer Systeme weiter verstärkt wird, um dies zu verhindern zukünftige Einfälle“, ohne zu sagen, was die Ursache des Eindringens war.
Details zu dem Vorfall bleiben ansonsten dürftig, und Plex hat den Verstoß noch nicht auf seiner Website oder in seinen sozialen Medien angekündigt. Plex-Sprecher haben nicht sofort auf unsere Fragen geantwortet.
Die Plex-Verletzung ist eine Erinnerung daran, einen Passwort-Manager zu verwenden und wo immer möglich eine Zwei-Faktor-Authentifizierung einzurichten, um es Angreifern erheblich schwerer zu machen, Ihre Online-Konten zu übernehmen.