メディアストリーミングプラットフォームのPlexは、ハッカーがデータベースのひとつから顧客の認証データを盗み出すデータ侵害が発生したことを受け、顧客にパスワードのリセットを警告しています。
BleepingComputerが確認したデータ侵害通知によると、盗まれたデータにはメールアドレス、ユーザー名、安全にハッシュ化されたパスワード、および認証データが含まれているとのことです。
「第三者によって、当社データベースの一部から限定的な顧客データへの不正アクセスがありました」とPlexのデータ侵害通知には記載されています。
「当社は迅速にこのインシデントを封じ込めましたが、アクセスされた情報にはメールアドレス、ユーザー名、安全にハッシュ化されたパスワードが含まれていました。」
「アクセスされた可能性のあるアカウントパスワードは、ベストプラクティスに従って安全にハッシュ化されており、第三者が読み取ることはできません。」
Plexは使用したハッシュアルゴリズムを公表していないため、攻撃者がパスワードの解読を試みる可能性もあります。
そのためPlexは、ユーザーに「念のため」https://plex.tv/reset でパスワードをリセットし、その際に「パスワード変更後に接続済みデバイスからサインアウトする」オプションも有効にすることを推奨しています。
これによりパスワードがリセットされ、既存の認証情報を利用したすべての接続がログアウトされます。ただし、これによりそれらのデバイスで再度ログインが必要となります。
SSO(シングルサインオン)でPlexにログインしている方は、https://plex.tv/security にアクセスし、「すべてのデバイスからサインアウト」ボタンをクリックして、すべてのアクティブセッションからログアウトすることを推奨しています。再度、各デバイスで認証情報を使ってログインする必要があります。
同社はまた、追加の保護のために二要素認証を有効にすることをユーザーに推奨しており、メールでパスワードやクレジットカード情報を尋ねることは決してないと強調しています。
Plexによると、決済カード情報はサーバーに保存されていないため、今回の侵害には含まれていません。
同社は、サーバー侵害に使用された手法には対応済みとしていますが、攻撃のさらなる技術的詳細については明らかにしていません。
BleepingComputerはPlexに今回の侵害について質問を送っており、回答があり次第記事を更新します。
なお、Plexユーザーがデータ侵害によりパスワードリセットを余儀なくされたのは今回が初めてではありません。
2022年8月にも、Plexはほぼ同様のデータ侵害を受け、認証データやハッシュ化されたパスワードが流出しました。
