使用該服務在家中管理和流式傳輸其媒體庫的 Plex 用戶需要盡快更改密碼,因為數據洩露會將用戶的憑據轉儲到第三方手中。
目錄
什麼是 Plex 數據洩露?
在 2022 年 8 月 24 日星期三早些時候,在 Plex 安全團隊注意到其數據庫中存在可疑活動的第二天,帳戶持有人收到了有關違規行為的警報。 據該組織稱,第三方能夠“訪問有限的數據子集,包括電子郵件、用戶名和加密密碼”。 聲明進一步解釋說:
“儘管所有可能被訪問的帳戶密碼都按照最佳實踐進行了散列和保護,但出於謹慎考慮,我們要求所有 Plex 帳戶重置密碼”
對於那些不知情的人,Plex 可以輕鬆地在自己的硬件上自行託管一個完整的媒體中心,並通過網絡瀏覽器和專用應用程序將音樂、電影、節目和直播電視流式傳輸到其他設備。
與其他自託管媒體服務器軟件(例如 Jellyfin)不同,Plex 要求用戶創建一個帳戶,並由組織存儲憑據。 身份驗證也由 Plex 中央處理,而不是由用戶自己的服務器處理。
雖然黑客極不可能使用存儲的密碼,但 Plex 既“要求”又“懇請”每個用戶立即重置密碼並採取額外的安全預防措施。
Plex 被黑後你需要做什麼
更改密碼是用戶保護其 Plex 帳戶的常識性方法。 您還需要退出所有連接的設備,然後重新登錄。Plex 還建議並請求您在 Plex 帳戶上啟用雙因素身份驗證。
雖然付款方式從未存儲在 Plex 服務器上,而且您的密碼可能是安全的,因為它們已加密,但值得注意的是,安全電子郵件並未說明用戶名和電子郵件地址受到任何保護。 攻擊者可以使用您的電子郵件地址做很多事情,因此如果您將該電子郵件地址用於任何其他服務,則值得更改它。 您還可以研究某種用於註冊和登錄的別名解決方案。
雖然我們建議沒有人在多項服務上使用相同的密碼,但我們也知道絕大多數人還是會這樣做。 考慮到密碼已洩露。 因此,如果您在任何其他帳戶上重複使用它,您也應該在那裡進行更改。
數據洩露一直在發生
Plex 肯定不是第一家宣布因電子郵件地址、用戶名和散列密碼洩露而導致數據洩露的公司或組織,也不會是最後一家。 確保您妥善保管您的憑據,並定期對照 HaveIBeenPwned 等數據庫檢查它們。
