„Plex“ naudotojai, kurie naudojasi paslauga savo medijos bibliotekoms tvarkyti ir transliuoti namuose, turi pakeisti savo slaptažodžius kuo greičiau, nes dėl duomenų pažeidimo vartotojų kredencialai patenka į trečiojo asmens rankas vakarėlis.
Kas yra „Plex“ duomenų pažeidimas?
Sąskaitų turėtojai buvo įspėti apie pažeidimą el. paštu ankstyvą trečiadienį, 2022 m. rugpjūčio 24 d., kitą dieną po to, kai „Plex“ saugos komanda pastebėjo įtartiną veiklą jų duomenų bazėje. Organizacijos teigimu, trečioji šalis galėjo „prieiti prie riboto duomenų pogrupio, apimančio el. laiškus, naudotojų vardus ir užšifruotus slaptažodžius“. Pareiškime paaiškinta plačiau:
„Nors visi paskyros slaptažodžiai, prie kurių buvo galima prieiti, buvo pritaikyti maišai ir apsaugoti pagal geriausia praktika, dėl didelio atsargumo reikalaujame, kad visos „Plex“ paskyros turėtų savo slaptažodį atstatyti"
Tiems, kurie nieko nežino, „Plex“ leidžia lengvai savarankiškai priglobti visą medijos centrą aparatinę įrangą ir transliuoti muziką, filmus, laidas ir tiesioginę TV į kitus įrenginius per žiniatinklio naršyklę ir tam skirtos programėlės.
Skirtingai nuo kitų savarankiškai priglobta medijos serverio programinė įranga, pvz., Jellyfin, „Plex“ reikalauja, kad vartotojai susikurtų paskyrą, o kredencialus saugotų organizacija. Autentifikavimą taip pat tvarko „Plex central“, o ne paties vartotojo serveris.
Nors labai mažai tikėtina, kad įsilaužėliai galėtų pasinaudoti saugomais slaptažodžiais, „Plex“ yra abu „reikalauti“ ir „maloniai prašyti“, kad kiekvienas vartotojas nedelsiant iš naujo nustatytų slaptažodį ir imtųsi papildomos apsaugos atsargumo priemonės.
Ką reikia padaryti po to, kai „Plex“ buvo nulaužtas
Slaptažodžių keitimas yra sveiko proto būdas vartotojams apsaugoti savo „Plex“ paskyrą. Taip pat turėsite atsijungti nuo visų prijungtų įrenginių ir vėl prisijungti. „Plex“ taip pat siūlo ir prašo įjungti dviejų veiksnių autentifikavimas savo Plex paskyroje.
Nors mokėjimo būdai niekada nėra saugomi „Plex“ serveriuose, o jūsų slaptažodžiai yra tikriausiai saugūs, nes jie buvo užšifruoti, verta paminėti, kad saugos el. laiške nebuvo nurodyta, kad naudotojų vardai ir el. pašto adresai yra kaip nors apsaugoti. Užpuolikai gali daug nuveikti naudodami jūsų el. pašto adresą, todėl jei tą el. pašto adresą naudojate kuriai nors kitai paslaugai, verta jį pakeisti. Taip pat galite pažvelgti į kai kuriuos slapyvardžių sprendimas registruojantis ir prisijungiant.
Ir nors patariame, kad niekas nenaudotų to paties slaptažodžio keliose paslaugose, taip pat žinome, kad didžioji dauguma žmonių vis tiek tai daro. Mano, kad slaptažodis pažeistas. Taigi, jei pakartotinai naudojate jį bet kurioje kitoje paskyroje, turėtumėte jį pakeisti ir ten.
Duomenų pažeidimai vyksta visą laiką
„Plex“ tikrai nėra pirmoji įmonė ar organizacija, paskelbusi duomenų pažeidimą dėl nutekėjusių el. pašto adresų, naudotojų vardų ir slaptažodžių maišos, ir tai nebus paskutinė. Įsitikinkite, kad rūpinatės savo kredencialais ir reguliariai tikrinate juos pagal tokias duomenų bazes kaip HaveIBeenPwned.
