Plex erzwingt das Zurücksetzen des Passworts, nachdem Hacker Daten von mehr als 15 Millionen Benutzern gestohlen haben

Die Media-Streaming-Plattform Plex sagte am Mittwoch, dass Hacker Zugang zu einer privaten Datenbank erhalten und Passwörter, Benutzernamen und E-Mails von mindestens der Hälfte ihrer 30 Millionen Kunden gestohlen haben.

„Gestern haben wir verdächtige Aktivitäten in einer unserer Datenbanken festgestellt“, schrieben Mitarbeiter des Unternehmens in einer E-Mail, die an Kunden gesendet wurde. „Wir haben sofort eine Untersuchung eingeleitet und es scheint, dass ein Dritter auf eine begrenzte Teilmenge der Daten zugreifen konnte, darunter E-Mail-Nachrichten, Benutzernamen und verschlüsselte Passwörter.“

In der E-Mail heißt es, dass die Passwörter „nach Best Practices gehasht und gesichert“ wurden, was bedeutet, dass die Passwörter kryptografisch so gemischt wurden, dass Angreifer zusätzliche Ressourcen zuweisen mussten, um die Hashes zu knacken und sie in ihren Klartextzustand zurückzusetzen. Ein Plex-Sprecher sagte, dass Passwörter mit bcrypt gehasht wurden, einem der leistungsstärksten Algorithmen zum Schutz von Passwörtern. bcrypt wendet automatisch das sogenannte Cipher Salting und Hashing an, um das Hacken zu erschweren.

Das Unternehmen verlangt jedoch von allen Kunden, dass sie ihre Passwörter zurücksetzen. Die Schritt-für-Schritt-Anleitung ist hier drüben. Sicherheitshalber rät das Unternehmen, sich nach dem Ändern des Passworts von allen verbundenen Geräten abzumelden und anschließend wieder anzumelden.

In der E-Mail wurde auch erwähnt, dass die Zahlungskartendaten nicht in der Datenbank gespeichert waren, auf die zugegriffen wurde, und daher nicht von dem Hack betroffen sind.

Mehrere Personen berichteten, dass sie am Mittwochmorgen Probleme hatten, sich in ihr Konto einzuloggen. Sicherheitsforscher Troy Hunt Verbreiten Screenshot der Fehler, die er beim Versuch, sich in seinem Konto anzumelden, erhalten hat.

Zwei Ars-Mitarbeiter sagten, sie hätten anfangs auch Probleme beim Zugriff auf ihre Konten gehabt, seien aber schließlich erfolgreich gewesen. Eine mit Ars verbundene dritte Person meldete, dass ihr Passwort zurückgesetzt wurde, und erhielt direkt danach eine E-Mail von Plex, in der sie aufgefordert wurde, ihr Passwort erneut zurückzusetzen. Die E-Mail schickte ihn in eine Schleife, als er sich nicht mit dem neuen Passwort anmelden konnte.

Plex ist ein bedeutender Anbieter von Medien-Streaming-Diensten, die es Benutzern ermöglichen, Filme und Audio zu streamen, Spiele zu spielen und auf ihre eigenen Inhalte zuzugreifen, die auf heimischen oder lokalen Medienservern gehostet werden. Ein Plex-Sprecher sagte, das Unternehmen habe mehr als 30 Millionen registrierte Benutzer und die Mehrheit von ihnen sei von dem Hack betroffen.

In der am Mittwoch herausgegebenen Mitteilung heißt es, dass Firmenbeamte die von den Hackern verwendeten Mittel, um Zugriff auf die Datenbank zu erlangen, bereits offengelegt und repariert hätten. Techniker führen weiterhin zusätzliche Überprüfungen durch, um zu verhindern, dass ähnliche Verstöße erneut vorkommen.