Plex vraagt gebruikers wachtwoord te resetten na datalek

In dit artikel:

Mediastreamingdienst Plex heeft gebruikers gevraagd hun wachtwoord te wijzigen nadat een onbevoegde toegang kreeg tot een klanten-database waarin e-mailadressen, gebruikersnamen, gehashte wachtwoorden en authenticatiegegevens zijn aangetroffen. Plex adviseert iedereen direct via plex.tv/reset een nieuw wachtwoord in te stellen en daarbij de optie te kiezen die alle verbonden apparaten automatisch uitlogt, zodat mogelijk misbruikte sessies beëindigd worden. Gebruikers die via Single Sign‑On inloggen moeten apparaten handmatig uitloggen via plex.tv/security en vervolgens opnieuw inloggen.

Het bedrijf stelt dat er geen creditcardgegevens zijn gelekt omdat die niet op de servers worden bewaard. Wel meldt BleepingComputer dat de wachtwoorden volgens gangbare richtlijnen gehasht zijn, maar Plex maakt het gebruikte algoritme niet bekend; daardoor blijft de kans bestaan dat kwaadwillenden proberen de hashes te kraken. Plex raadt daarom ook aan tweefactorauthenticatie te activeren en sterke, unieke wachtwoorden te gebruiken.

Plex zegt de toegangsroute inmiddels gedicht te hebben, maar geeft geen technische details of herkomst van de aanval prijs. Het bedrijf biedt excuses aan en verwijst naar interne detectiesystemen die het incident snel ontdekten. Dit is niet nieuw voor Plex: in augustus 2022 voltrok zich een vergelijkbare datalek. Plex kondigt extra beveiligingsmaatregelen en controles aan om herhaling te voorkomen.