Havebin

Watch

Plexのデータ侵害でメールアドレスと暗号化されたパスワードが流出

Havebin
qlamk
0 Comments
Plexのデータ侵害でメールアドレスと暗号化されたパスワードが流出
Plexのデータ侵害でメールアドレスと暗号化されたパスワードが流出
Plexデータ侵害 | ロゴと動画

Plexのデータ侵害により、ユーザー名、メールアドレス、暗号化されたパスワードが流出しました。セキュリティ上の問題の範囲はまだ不明ですが、同社は全ユーザーにパスワードの変更を要請しています。

この問題は、Plex サーバーがこれを実行しようとするユーザーの数に対応できるだけの十分な容量を持っていなかったことや、その他の一連の問題によってさらに悪化しました...

Plexは今朝、第三者が「データの限定されたサブセット」にアクセスできたことを全ユーザーにメールで知らせたが、影響を受けたアカウントの数は明らかにしなかった。

昨日、お客様のPlexアカウント情報に関するインシデントが発生しましたので、お知らせいたします。このインシデントによる実際の影響は限定的であると考えていますが、アカウントのセキュリティ維持に必要な情報とツールをお客様に確実にご提供できるよう努めてまいります。

昨日、データベースの一つで不審なアクティビティを発見しました。直ちに調査を開始した結果、第三者がメールアドレス、ユーザー名、暗号化されたパスワードを含む一部のデータにアクセスできたことが判明しました。アクセスされた可能性のあるアカウントのパスワードはすべてハッシュ化され、ベストプラクティスに従って保護されていましたが、万全を期すため、すべてのPlexアカウントのパスワードをリセットしていただくようお願いいたします。クレジットカードなどの決済データは当社のサーバーには一切保存されておらず、今回のインシデントによる影響を受けていませんのでご安心ください。

この第三者がシステムへのアクセスに使用した手法については既に対処済みであり、今後の侵入を防ぐため、すべてのシステムのセキュリティをさらに強化するための追加調査を実施しています。アカウントのパスワードはベストプラクティスに従って保護されていますが、Plexユーザーの皆様にはパスワードの再設定をお願いしております。

端的に申し上げますと、Plexアカウントのパスワードを直ちにリセットしていただくようお願いいたします。リセットする際、「パスワード変更後に接続デバイスからサインアウトする」というチェックボックスがあります。これにより、すべてのデバイス(所有しているPlexメディアサーバーを含む)からサインアウトされ、新しいパスワードで再度サインインする必要があります。手間はかかりますが、セキュリティ強化のため、リセットすることをお勧めします。パスワードのリセット方法をステップバイステップで説明したサポート記事をこちらにご用意しました。

本稿執筆時点では、パスワードの変更は強制されていません。しかし、パスワードの変更を試みた人の中には、変更できなかったという報告もあります。

「内部サーバーエラーのためパスワードを変更できません」

「パスワードを変更するためにアカウントにログインしてみましたが、うまくいきませんでした。何度か試してみたのですが、パスワード変更フォームを送信すると、回転するアイコンが表示されたまま30秒ほど止まってしまい、「内部サーバーエラーが発生しました。こちら側で問題が発生しました」というメッセージが表示されました。」

「パスワード リセット機能を使用して、接続されているすべてのデバイスからサインアウトしようとすると、内部サーバー エラー (500) 応答も表示されます。」

他のユーザーはパスワードの変更には成功しましたが、再ログイン時に別の問題が発生しています。多くのユーザーから、自分のサーバーで「権限がありません」または「このサーバーへのアクセス権がありません」というメッセージが表示されるという報告があります。ログインしてサーバーを再度取得できたという報告もありますが、それでもうまくいかなかったという報告もあります。

Plexは、パスワード変更の急増に対応するための十分な帯域幅を確保できていないようです。さらに、パスワードリセットページでは、既存のパスワードよりも先に新しいパスワードの入力を求められます。これは明らかに想定外であり、一部のパスワード変更失敗の原因となっている可能性があります。

Plexは、アカウント設定で2段階認証を有効にすることを推奨しています。ただし、メールアドレスで登録した場合のみ有効です。Googleアカウントなどのアカウントで登録した場合は、2段階認証は利用できません。

同社はPlexのデータ漏洩について謝罪し、セキュリティを再検討中であると述べた。

パスワードを変更したりアカウントにアクセスしたりできない場合は、数時間待ってからもう一度試すことをお勧めします (侵入によって他のアカウントにアクセスできないように、強力で一意のパスワードを使用していると仮定します)。

Plex が最後に問題になったのは 4 月で、ユニバーサル ウォッチリスト機能により、子供が制限されたコンテンツを視聴できる手段が提供されていたことが発覚した時だった。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like