Plex victime d’un vol de données. La plate-forme demande à tous ses utilisateurs de changer de mot de passe.
Les utilisateurs de Plex devraient changer leur mot de passe dès que possible. En effet, le lecteur et service de streaming explique dans un mot envoyé aux utilisateurs affectés par cette faille qu’une personne malveillante s’est infiltrée dans ses systèmes. On peut notamment lire que l’entreprise a immédiatement démarré une enquête après avoir constaté une activité suspicieuse sur l’une de ses bases de données. Selon les premiers éléments, Plex explique qu’une entité tierce a eu accès à un sous-ensemble de ses données, parmi lesquelles des emails, des noms d’utilisateur et des mots de passe chiffrés d’utilisateurs.
Plex victime d’un vol de données
Même Troy Hunt de Have I Been Pwned a été affecté. Comme il l’explique dans son tweet, il n’y a rien que l’on puisse faire dans ce genre de cas, mais utiliser un générateur de mot de passe et l’authentification double facteur permet de minimiser les risques. À noter, Troy Hunt a rencontré une erreur en tentant de changer son mot de passe et s’est rendu compte que le fait de NE PAS déconnecter les appareils existants ont permis de finaliser le processus.
La plate-forme demande à tous ses utilisateurs de changer de mot de passe
Plex expliquait aussi avoir déjà corrigé la faille utilisée par le responsable de cette attaque, mais n’est pas entré dans les détails quant à ladite méthode ou à la vulnérabilité exploitée s’il y en a une. L’entreprise s’est aussi engagée à réaliser des analyses supplémentaires pour s’assurer que ses systèmes sont “renforcés pour éviter de futures pénétrations”. Pour l’heure, Plex demande à tous ses utilisateurs de changer leur mot de passe “par mesure de précaution”, même si tous les mots de passe récupérés par le hacker étaient chiffrés. La plate-forme rassure aussi les utilisateurs dans son communiqué qu’elle ne stocke aucun numéro de carte de crédit sur ses serveurs, le hacker n’a donc pas pu y accéder.
Aw crap, I’m pwned in a @plex data breach. Again. I can’t do anything to *not* be in a breach like this (short of not using the service), but a @1Password generated random password and 2FA enabled makes this a mere inconvenience rather than a genuine risk. pic.twitter.com/XetB3IGUh3
— Troy Hunt (@troyhunt) August 24, 2022
