Het mediastreamingplatform Plex heeft klanten verzocht hun wachtwoord te wijzigen nadat een onbevoegde toegang heeft gekregen tot een database met klantgegevens. Bij de aanval zijn e-mailadressen, gebruikersnamen, gehashte wachtwoorden en authenticatiegegevens buitgemaakt.
Volgens BleepingComputer zijn de wachtwoorden gehasht volgens de gangbare best practices. Plex maakte echter niet bekend welk algoritme daarbij is gebruikt. Hierdoor bestaat de mogelijkheid dat kwaadwillenden proberen de hashes te kraken. Uit voorzorg wordt alle gebruikers aangeraden hun wachtwoord direct te resetten via plex.tv/reset.
Plex adviseert daarbij om de optie te gebruiken waarbij alle verbonden apparaten na de wijziging automatisch worden uitgelogd. Dit zorgt ervoor dat ook actieve sessies die mogelijk door derden misbruikt zouden kunnen worden, worden beëindigd en dat gebruikers opnieuw in moeten loggen met hun nieuwe gegevens. Voor gebruikers die inloggen via Single Sign-On geldt een extra stap: zij moeten via plex.tv/security alle apparaten handmatig uitloggen en daarna opnieuw inloggen met hun vernieuwde inloggegevens.
Geen creditcardgegevens gelekt
Het bedrijf benadrukt dat er geen creditcardgegevens zijn buitgemaakt omdat dergelijke informatie niet wordt opgeslagen op de servers. Daarnaast raadt Plex gebruikers aan tweefactorauthenticatie te activeren voor extra bescherming van hun account. Plex zegt dat het de methode waarmee de aanvaller toegang kreeg inmiddels heeft gedicht. Het bedrijf deelt echter geen technische details over de aanval of de herkomst van de inbreuk.
Dit is niet de eerste keer dat Plex klanten vraagt hun wachtwoord te wijzigen na een incident. In augustus 2022 werd het bedrijf al getroffen door een vergelijkbaar datalek. Ook toen kwamen gehashte wachtwoorden en authenticatiegegevens in verkeerde handen.
Plex biedt excuses aan voor het ongemak en stelt dat interne detectiesystemen hebben geholpen om het incident snel te signaleren. Het bedrijf zegt verdere beveiligingsmaatregelen door te voeren en extra controles in te bouwen om herhaling te voorkomen en het vertrouwen van zijn klanten te behouden.