Plex forza la reimpostazione della password dopo che gli hacker hanno rubato i dati di oltre 15 milioni di utenti

La piattaforma di streaming multimediale Plex ha dichiarato mercoledì che gli hacker hanno ottenuto l’accesso a un database privato e hanno rubato password, nomi utente ed e-mail di almeno la metà dei suoi 30 milioni di clienti.

“Ieri abbiamo rilevato attività sospette in uno dei nostri database”, hanno scritto i funzionari dell’azienda in un’e-mail inviata ai clienti. “Abbiamo immediatamente avviato un’indagine e sembra che una terza parte sia stata in grado di accedere a un sottoinsieme limitato di dati che include messaggi di posta elettronica, nomi utente e password crittografate”.

L’e-mail diceva che le password erano “hash e protette secondo le migliori pratiche”, il che significa che le password sono state mescolate crittograficamente in un modo che richiedeva agli aggressori di allocare risorse aggiuntive per decifrare gli hash e riportarli al loro stato di testo normale. Un portavoce di Plex ha affermato che le password sono state sottoposte a hash utilizzando bcrypt, uno degli algoritmi più potenti per la protezione delle password. bcrypt applica automaticamente ciò che è noto come salatura e forgiatura di cifratura per rendere più difficile il cracking.

Tuttavia, l’azienda richiede a tutti i clienti di reimpostare le proprie password. Le istruzioni passo passo sono qui. Per buona misura, l’azienda consiglia di disconnettersi da tutti i dispositivi collegati dopo aver modificato la password e quindi accedere nuovamente.

L’e-mail menzionava anche che i dettagli della carta di pagamento non erano archiviati nel database a cui si accedeva e quindi non sono interessati dall’hacking.

Diverse persone hanno riferito di aver avuto problemi ad accedere al proprio account mercoledì mattina. Il ricercatore di sicurezza Troy Hunt Differenza Screenshot degli errori ricevuti durante il tentativo di accesso al suo account.

Due dipendenti di Ars hanno affermato di aver inizialmente avuto problemi ad accedere ai propri account, ma alla fine ci sono riusciti. Una terza persona connessa ad Ars ha segnalato la reimpostazione della password e subito dopo ha ricevuto un’e-mail da Plex chiedendo loro di reimpostare nuovamente la password. L’e-mail lo ha inviato in un ciclo quando non poteva accedere con la nuova password.

Plex è uno dei principali fornitori di servizi di streaming multimediale che consentono agli utenti di riprodurre in streaming film e audio, giocare e accedere ai propri contenuti ospitati su server multimediali domestici o locali. Un portavoce di Plex ha affermato che la società ha più di 30 milioni di utenti registrati e che la maggior parte di loro è stata colpita dall’hacking.

L’avviso emesso mercoledì affermava che i funzionari dell’azienda avevano già rivelato e riparato i mezzi utilizzati dagli hacker per accedere al database. Gli ingegneri continuano a eseguire ulteriori revisioni per evitare che violazioni simili si ripetano.