Platforma do strumieniowego przesyłania multimediów Plex poinformowała w środę, że hakerzy uzyskali dostęp do prywatnej bazy danych i ukradli hasła, nazwy użytkowników i adresy e-mail co najmniej połowy z 30 milionów klientów.
„Wczoraj wykryliśmy podejrzaną aktywność w jednej z naszych baz danych” – napisali urzędnicy firmy w e-mailu wysłanym do klientów. „Natychmiast wszczęliśmy dochodzenie i wygląda na to, że osoba trzecia była w stanie uzyskać dostęp do ograniczonego podzbioru danych, który obejmuje wiadomości e-mail, nazwy użytkowników i zaszyfrowane hasła”.
W wiadomości e-mail stwierdzono, że hasła zostały „zaszyfrowane i zabezpieczone zgodnie z najlepszymi praktykami”, co oznacza, że hasła zostały kryptograficznie przetasowane w sposób, który wymagał od atakujących przydzielenia dodatkowych zasobów w celu złamania skrótów i przywrócenia ich do stanu zwykłego tekstu. Rzecznik Plex powiedział, że hasła zostały zaszyfrowane przy użyciu bcrypt, jednego z najpotężniejszych algorytmów ochrony haseł. bcrypt automatycznie stosuje tak zwane solenie szyfrów i mieszanie, aby utrudnić hakowanie.
Firma wymaga jednak od wszystkich klientów resetowania haseł. Instrukcje krok po kroku są tutaj. Na dokładkę firma radzi wylogować się ze wszystkich podłączonych urządzeń po zmianie hasła, a następnie zalogować się ponownie.
W wiadomości e-mail wspomniano również, że dane karty płatniczej nie zostały zapisane w bazie danych, do której uzyskano dostęp, a zatem nie zostały naruszone przez włamanie.
Kilka osób zgłosiło, że w środę rano miało problem z zalogowaniem się na swoje konto. Badacz bezpieczeństwa Troy Hunt Rozpiętość Zrzut ekranu z błędami, które otrzymał podczas próby zalogowania się na swoje konto.
Dwóch pracowników Ars powiedziało, że początkowo mieli problemy z dostępem do swoich kont, ale w końcu im się to udało. Trzecia osoba połączona z Ars zgłosiła, że jej hasło zostało zresetowane, a zaraz potem otrzymała wiadomość e-mail od Plex z prośbą o ponowne zresetowanie hasła. Wiadomość e-mail wysłała mu pętlę, gdy nie mógł zalogować się przy użyciu nowego hasła.
Plex jest głównym dostawcą usług przesyłania strumieniowego multimediów, które umożliwiają użytkownikom strumieniowe przesyłanie filmów i dźwięku, granie w gry i dostęp do własnych treści hostowanych na domowych lub lokalnych serwerach multimedialnych. Rzecznik Plex powiedział, że firma ma ponad 30 milionów zarejestrowanych użytkowników i że większość z nich została dotknięta atakiem hakera.
W środowym zawiadomieniu stwierdzono, że urzędnicy firmy ujawnili już i naprawili środki wykorzystywane przez hakerów w celu uzyskania dostępu do bazy danych. Inżynierowie nadal przeprowadzają dodatkowe przeglądy, aby zapobiec powtórzeniu się podobnych naruszeń.