圈小蛙
Plex流媒体平台遭遇入侵,此次事件与2022年发生的数据泄露事件如出一辙,当时身份验证数据和加密密码被泄露。该公司敦促用户更改密码、启用双因素身份验证,并退出所有可能已登录的连接设备。
Plex在一封发送给用户的题为“需要采取行动:潜在安全事件通知”的电子邮件中表示,一个数据库遭到“未经授权的第三方”访问,泄露了“有限部分”客户的电子邮件、用户名和哈希密码。由于这些密码经过了安全的哈希处理,攻击者无法轻易读取,但Plex仍敦促用户更改密码。Plex表示,信用卡数据并未泄露,因为这些数据并未存储在其服务器上。
以下是发送给 Plex 用户的完整电子邮件:
尊敬的 Plex 用户:
我们最近遭遇了一起安全事件,可能涉及您的 Plex 帐户信息。我们认为此次事件的实际影响有限;但您需要采取措施,以确保您的帐户安全。
事件经过:
未经授权的第三方从我们的一个数据库中访问了有限的客户数据子集。虽然我们迅速控制了事件,但被访问的信息包括电子邮件地址、用户名以及经过安全哈希处理的密码。
所有可能被访问的账户密码均已按照最佳实践进行了安全哈希处理,这意味着第三方无法读取。出于谨慎考虑,我们建议您立即访问https://plex.tv/reset重置密码。请放心,我们的服务器上不会存储信用卡数据,因此这些信息在此次事件中并未泄露。
我们正在做什么
我们已经解决了第三方用来访问系统的方法,并且我们正在进行额外的审查,以确保我们所有系统的安全性得到进一步加强,以防止未来的攻击。
您必须采取的措施:
我们恳请您立即访问https://plex.tv/reset重置您的 Plex 帐户密码。重置密码时,会出现一个复选框“密码更改后退出已连接的设备”,我们建议您启用该复选框。为了您的安全,这将使您退出所有设备(包括您拥有的任何 Plex 媒体服务器),然后您需要使用新密码重新登录。我们理解这会给您带来一些额外的工作,但这将为您的帐户提供额外的安全保障。
您可以采取的其他安全措施:
我们提醒您,Plex 的任何人都不会通过电子邮件联系您,索要密码或用于付款的信用卡号。为了进一步保护您的账户,如果您尚未启用双重身份验证,我们建议您立即启用。
最后,对于由此给您带来的不便,我们深表歉意。我们非常重视我们的安全系统,正是它帮助我们迅速发现了此次事件。我们向您保证,我们正在迅速采取行动,防止类似事件再次发生。
有关如何重置密码的分步说明,请访问:https://support.plex.tv/articles/account-requires-password-reset
谢谢
Plex 团队