Plex 媒体流平台正在向其许多用户发送密码重置通知,以响应发现对其数据库之一的未经授权的访问。
根据一位读者与ZZQIDC分享的信件,入侵者可能访问了有限的数据子集,包括电子邮件地址、用户名和加密密码。
“即使所有可能被访问的帐户密码都按照最佳实践进行了散列和保护,但出于谨慎考虑,我们要求所有 Plex 帐户重置密码,” Plex 的通知称。
“请放心,信用卡和其他支付数据根本不会存储在我们的服务器上,并且在这次事件中不会受到攻击”。
Plex 声称它已经确定了第三方访问数据库的方式,并解决了该问题以加强其系统并防止类似事件在未来再次发生。
数据泄露监控服务“ Have I Been Pwned ”的创建者 Troy Hunt 也发现自己是受影响的用户之一。
影响不明
目前,Plex 尚未具体说明事件的影响和密码重置操作,但互联网公司将其描述为“有限”。
ZZQIDC已联系 Plex,要求提供有关这方面的更多信息,我们将在收到该公司的回复后立即更新此帖子。
一些用户报告表明该问题不会影响免费帐户,因此可能只有付费帐户受到影响。不过,这还没有得到验证。
与此同时,Plex.tv 网站今天发生了中断,在撰写本文时已关闭。Plex 状态页面承认问题并表示正在调查原因。
目前尚不清楚此中断是否与未经授权的数据库访问有关,或者是否是针对平台的单独 DDoS(分布式拒绝服务)攻击。
密码重置
密码重置不是通过自动注销来强制执行的,因此那些未在现有设备上注销其帐户的人可能会继续使用 Plex,但会遇到媒体收集访问问题。
此外,一些用户报告在尝试更新其帐户密码时遇到“内部服务器错误”,这在此过程中增加了摩擦(和刺激)。
许多受影响的用户看到的错误 ( @vinaymanro )
建议您立即按照Plex 的说明重置密码,以最大程度地减少帐户被接管的机会。
此外,如果您可能在其他网站上使用相同的凭据,您也应该在那里重置您的密码。
不这样做可能会使您容易受到撞库攻击,其中恶意行为者使用被盗的用户名+密码对尝试登录各种网站。
请记住,加密不会使密码无论是现在还是将来都无法破解,因为这取决于用于保护存储密码的算法类型。Plex 没有在发送的信函中定义该细节。
为了进一步减少您使用的任何在线平台上帐户被接管的机会,如果该选项可用,请激活 MFA(多因素身份验证)。
Plex 用户可以按照此处的说明在其登录过程中添加 2FA(双因素身份验证)步骤,以提高帐户安全性。
