Plex のデータ侵害の結果、ユーザー名、電子メール アドレス、および暗号化されたパスワードが公開されました。 セキュリティ違反の程度は不明ですが、企業はすべてのユーザーに対してパスワードの変更を義務付けています。
Plex サーバーがそれらを利用しようとする大量のユーザーを処理できないこと、および他の多くの問題が状況を複雑にしました。
Plexのデータ侵害が確認されました
今朝、Plex はすべてのユーザーに電子メールを送信し、影響を受けたアカウントの数は特定していませんが、「データの小さなサブセット」に第三者がアクセスできることを知らせました。
「昨日、Plex のアカウント情報に関連する事件が発生したことをお知らせします。 このインシデントの実際の影響は限定的であると考えていますが、アカウントを安全に保つための適切な情報とツールを確実に入手できるようにしたいと考えています。
昨日、弊社のデータベースの 1 つで疑わしいアクティビティが発見されました。 すぐに調査を開始したところ、サードパーティが電子メール、ユーザー名、暗号化されたパスワードを含むデータの限られたサブセットにアクセスできたようです. アクセスされた可能性のあるアカウントのパスワードはすべてハッシュ化され、ベスト プラクティスに従って保護されていますが、細心の注意を払って、すべての Plex アカウントのパスワードをリセットする必要があります。 クレジット カードやその他の支払いデータは当社のサーバーにはまったく保存されておらず、今回のインシデントでは脆弱ではありませんでしたのでご安心ください。
このサードパーティがシステムへのアクセスを取得するために採用した方法については既に対処しており、将来の侵入を防ぐためにすべてのシステムのセキュリティをさらに強化するために追加のレビューを行っています. アカウントのパスワードはベスト プラクティスに従って保護されていますが、Plex のすべてのユーザーはパスワードをリセットする必要があります。
簡単に言えば、すぐに Plex アカウントのパスワードをリセットしていただくようお願いいたします。 その際、「パスワードの変更後に接続されているデバイスをサインアウトする」チェックボックスがあります。 これにより、すべてのデバイス (所有する Plex Media Server を含む) がサインアウトされ、新しいパスワードで再度サインインする必要があります。 これは頭の痛い問題ですが、セキュリティを強化するためにそうすることをお勧めします。 パスワードをリセットするための詳細な手順を記載したサポート記事をこちらで作成しました。
執筆時点では、パスワードの変更は必要ありませんでした。 一方、試みを行っている人の中には、成功していないと主張する人もいます。
「内部サーバー エラーのため、パスワードを変更できません」
「先に進み、アカウントにログインしてパスワードを変更しました。 問題は、それがうまくいかなかったということです。 何度か試してみましたが、パスワード変更フォームを送信すると、回転するアイコンが約 30 秒間表示され、「Internal Server Error. 私たちの側で何か問題が発生しました。」
「パスワード リセット機能を使用して、接続されているすべてのデバイスからサインアウトしようとすると、内部サーバー エラー (500) 応答も受け取ります。」
パスワードを変更できたにもかかわらず、再度ログインできないという人もいます。 自分のサーバーについては、多くのユーザーが「承認されていません」や「このサーバーへのアクセス権がありません」などのメッセージを受け取ったと主張しています。 ログオンしてサーバーを再利用した後に成功したものもあれば、成功しなかったものもあります。
Plex は、猛烈なパスワード変更試行を処理するのに十分な追加帯域幅を設定していないようです。 さらに、パスワード リセット ページは予期せず、古いパスワードの前に新しいパスワードを要求するため、一部の障害の原因となる可能性があります。
アカウント設定で2要素認証を設定することは、Plexが推奨するものです. メールアドレスではなく、Google やその他のアカウントを使用して登録した場合、2FA は利用できないことに注意してください。
同社は、Plex のデータ侵害について謝罪することに加えて、現在そのセキュリティを調査していると述べています。
アカウントにアクセスできない場合やパスワードを変更できない場合は、数時間待ってから再試行することをお勧めします (ただし、侵害が発生した場合に他のアカウントへのアクセスを防ぐ強力な独自のパスワードを使用している場合)。 )。
子供が禁止されたコンテンツにアクセスできるユニバーサル ウォッチリスト機能が発見されたとき、Plex は 4 月に最後に論争に遭遇しました。 このプラットフォームをまだ試していない場合は、Plex でマルチメディア サーバーを作成する方法を示すガイドをご覧ください。
Source: Plex のデータ侵害: メールとパスワードが公開されています