Datenleck: Hacker erbeutet Passwort-Hashes von Plex-Nutzern
Der Anbieter der Streamingplattform Plex informiert seine Nutzer derzeit per E-Mail über einen neuen Sicherheitsvorfall, bei dem Angreifer in den Besitz von Anmeldeinformationen gelangt sind. Eine entsprechende Meldung ist auch im Plex-Forum zu finden(öffnet im neuen Fenster) . Demnach geht das Unternehmen davon aus, dass "die tatsächlichen Auswirkungen dieses Vorfalls begrenzt sind" . Dennoch werden Anwender darum gebeten, ihre Passwörter zu ändern.
Den Angaben zufolge verschaffte sich ein unbefugter Akteur Zugriff auf einen Teil der Kundendaten von Plex. Der Vorfall soll zwar schnell eingedämmt worden sein, jedoch hatte der Angreifer offenkundig noch genug Zeit, um einige Daten abzugreifen – darunter E-Mail-Adressen, Nutzernamen, Passwort-Hashes und andere Authentifizierungsdaten.
Kreditkartendaten seien hingegen explizit nicht betroffen, da Plex diese gar nicht auf den eigenen Servern speichere, heißt es.
Die Sicherheitslücke, über die der Angreifer Zugriff erlangt hatte, will das Unternehmen bereits geschlossen haben. Details zu der Lücke und zur Vorgehensweise des Angreifers nennt Plex jedoch nicht.
Nutzer sollten handeln
Plex versichert, die betroffenen Passwörter seien "sicher gehasht" , so dass der Angreifer in der Regel nicht in der Lage sein dürfte, diese in absehbarer Zeit im Klartext zu ermitteln. Dennoch sollten Plex-Nutzer ihre Passwörter aus Sicherheitsgründen über das dafür vorgesehene Webformular(öffnet im neuen Fenster) zurücksetzen.
In diesem Zuge wird auch empfohlen, sämtliche Geräte (einschließlich Plex Media Server) von dem jeweiligen Konto abzumelden und sich daran später bei Bedarf mit dem neuen Passwort wieder anzumelden. Wer per SSO bei Plex angemeldet ist, kann die Abmeldung der Geräte im Sicherheitsbereich der Plattform(öffnet im neuen Fenster) erzwingen.
Als zusätzliche Sicherheitsmaßnahmen empfiehlt Plex, die Zwei-Faktor-Authentifizierung zu aktivieren und aufgrund möglicher Phishing-Angriffe bei verdächtigen E-Mails in nächster Zeit besonders wachsam zu bleiben. "Wir möchten Sie daran erinnern, dass niemand bei Plex Sie jemals per E-Mail kontaktieren wird, um Sie nach Ihrem Passwort oder Ihrer Kreditkartennummer für Zahlungen zu fragen" , heißt es in der Meldung.
Einen ähnlichen Vorfall gab es bei Plex erst vor drei Jahren . Damals waren unbekannte Akteure ebenfalls an Anmeldedaten gelangt, woraufhin der Anbieter der Streamingplattform Anwendern einen Passwort-Reset empfahl.