Plex medya akış platformu, veritabanlarından birine yetkisiz erişimi keşfetmeye yanıt olarak birçok kullanıcısına parola sıfırlama bildirimleri gönderiyor.
Bir okuyucunun BleepingComputer ile paylaştığı mektuba göre, davetsiz misafir potansiyel olarak e-posta adresleri, kullanıcı adları ve şifreli parolalar dahil olmak üzere sınırlı bir veri alt kümesine erişti.
“Erişilebilecek tüm hesap şifreleri, en iyi uygulamalara uygun olarak hash edilmiş ve güvence altına alınmış olsa da, çok dikkatli bir şekilde, tüm Plex hesaplarının şifrelerini sıfırlamasını istiyoruz.” Plex’in bildirimini talep ediyor.
“Kredi kartı ve diğer ödeme verilerinin sunucularımızda hiçbir şekilde depolanmadığından ve bu olayda savunmasız olmadığından emin olabilirsiniz.”
Plex, üçüncü tarafın veritabanına erişme yöntemlerini belirlediğini ve sistemlerini güçlendirmek ve gelecekte benzer olayların tekrar oluşmasını önlemek için sorunu ele aldığını iddia ediyor.
Troy Hunt, veri ihlali izleme hizmetinin yaratıcısı ‘Kandırıldım mı‘ da kendisini etkilenen kullanıcılar arasında buldu.
Belirsiz etki
Şu anda, olayın etkisi ve parola sıfırlama eylemi Plex tarafından belirtilmedi, ancak internet şirketi bunu “sınırlı” olarak nitelendirdi.
BleepingComputer, bu cephede daha fazla bilgi talep etmek için Plex ile iletişime geçti ve firmadan haber alır almaz bu gönderiyi güncelleyeceğiz.
Bazı kullanıcı raporları, sorunun ücretsiz hesapları etkilemediğini gösteriyor, bu nedenle yalnızca ödeme yapan hesaplar etkilenmiş olabilir. Yine de, bu henüz doğrulanmadı.
Bu arada, Plex.tv web sitesi bugün bir kesinti yaşadı ve bunu yazarken kapalı. Plex durum sayfası sorunu kabul ediyor ve nedenini araştırdığını söylüyor.
Bu kesintinin yetkisiz veritabanı erişimiyle mi ilgili olduğu yoksa platformu hedefleyen ayrı bir DDoS (dağıtılmış hizmet reddi) saldırısı mı olduğu bilinmiyor.
Şifre sıfırlama
Parola sıfırlama, otomatik oturum kapatma işlemleriyle uygulanmaz, bu nedenle mevcut cihazlarda hesaplarından çıkış yapmayanlar Plex’i kullanmaya devam edebilir, ancak medya toplama erişim sorunlarıyla karşılaşabilir.
Ayrıca, birkaç kullanıcı hesap şifrelerini güncellemeye çalışırken “dahili sunucu hataları” aldığını bildiriyor ve bu da süreçte sürtüşme (ve rahatsızlık) yaratıyor.
takip etmeniz tavsiye edilir Plex’in şifrenizi sıfırlamayla ilgili talimatları hesabın ele geçirilmesi olasılığını en aza indirmek için hemen.
Ayrıca, aynı kimlik bilgilerini başka web sitelerinde de kullanıyorsanız, parolalarınızı orada da sıfırlamanız gerekir.
Bunu yapmamak, sizi kötü niyetli kişilerin çeşitli web sitelerinde oturum açmaya çalışmak için çalınan kullanıcı adı+şifre çiftlerini kullandığı kimlik bilgisi doldurma saldırılarına karşı savunmasız hale getirebilir.
Saklanan parolaların güvenliğini sağlamak için kullanılan algoritmanın türüne bağlı olduğundan, şifrelemenin şu anda veya gelecekte parolaları kırılamaz hale getirmediğini unutmayın. Plex, gönderilen mektupta bu ayrıntıyı tanımlamaz.
Kullandığınız herhangi bir çevrimiçi platformda hesap ele geçirme olasılığını daha da azaltmak için, seçenek varsa MFA’yı (çok faktörlü kimlik doğrulama) etkinleştirin.
Plex kullanıcıları, aşağıdakileri izleyerek ek hesap güvenliği için oturum açma işlemlerine 2FA (iki faktörlü kimlik doğrulama) adımı ekleyebilir: buradaki talimatlar.
8/24 güncellemesi: Birkaç okuyucu, BleepingComputer’a parola sıfırlamanın Plex tarafından zorlanmadığını ve eski kimlik bilgilerini kullanarak oturum açmaya çalışan kullanıcılardan parola sıfırlaması istenmediğini belirtti.