- Plexはデータ漏洩によりメールアドレス、ユーザー名、ハッシュ化されたパスワードが流出
- ユーザーにはパスワードの変更と二要素認証の有効化が強く推奨されている
- Plex Media Serverの別の脆弱性は8月に修正済み
人気のメディアサーバーおよびストリーミングプラットフォームであるPlexは、サイバー攻撃によって機密データが流出したことをユーザーに警告し、その結果としてパスワードの更新を促しました。
9月8日に公開されたフォーラム投稿で、Plexは「限定的な影響」のセキュリティインシデントが最近発生し、認可されていない第三者が顧客データの一部にアクセスしたと述べました。
「当社は迅速にこのインシデントを封じ込めましたが、アクセスされた情報にはメールアドレス、ユーザー名、安全にハッシュ化されたパスワードおよび認証データが含まれていました」と投稿には記載されています。クレジットカードやその他の支払いデータは、そもそも会社のサーバーに保存されていなかったため、アクセスされていません。
ハッシュ化されたパスワードは判読できない
Plexはさらに、パスワードは「ベストプラクティスに従って」ハッシュ化されており、ハッカーがそれを読むことはできないと説明しました。それでも安全のため、全ユーザーに全てのセッションからログアウトし、全てのパスワードを変更することを推奨しています。また、Plexがパスワードやクレジットカード番号をメールで尋ねることは決してないと強調し、攻撃で入手したメールアドレス宛にフィッシング攻撃が送られる可能性を示唆しています。
「さらなるアカウント保護のため、まだ設定していない場合はPlexアカウントで二要素認証を有効にすることも推奨します。」
Plexはメディアサーバーおよびストリーミングプラットフォームとして、ユーザーが映画、テレビ番組、音楽、写真などの個人メディアをほぼあらゆるデバイスで収集、整理、ストリーミングできるようにします。非常に人気があり、一部の情報源によると2,500万人以上のアクティブユーザーがいるとされています。
今年8月中旬、PlexはPlex Media Server製品に影響する謎の脆弱性を修正したと発表し、ユーザーに修正の適用を遅らせないよう呼びかけました。同社はバグ報奨金プログラムを通じて、Plex Media Serverバージョン1.41.7.xから1.42.0.xに影響する潜在的なセキュリティ問題の報告を受け、その直後にパッチを公開しました。
翻訳元: https://www.techradar.com/pro/security/all-plex-users-should-reset-passwords-in-wake-of-data-breach
