HackerNews 编译,转载请注明出处:
媒体流平台Plex警告客户在遭受数据泄露事件后重置密码,该事件中一名黑客能够从其一个数据库中窃取客户身份验证数据。
在BleepingComputer看到的一份数据泄露通知中,Plex表示被盗数据包括电子邮件地址、用户名、安全哈希的密码和身份验证数据。
“未经授权的第三方访问了我们一个数据库中有限的客户数据子集,”Plex的数据泄露通知中写道。
“尽管我们迅速控制了这一事件,但被访问的信息包括电子邮件、用户名和安全哈希的密码。”
“任何可能被访问的账户密码都已按照最佳实践进行了安全哈希处理,这意味着第三方无法读取它们。”
Plex没有透露使用了哪种哈希算法,这引发了攻击者可能会尝试破解密码的可能性。
因此,出于“谨慎起见”,Plex建议用户在https://plex.tv/reset重置密码,并在操作时启用“密码更改后注销连接设备”选项。
这将重置您的密码并注销任何使用您自己凭据的现有连接。然而,这也需要您在任何使用这些凭据的设备上重新登录。
对于使用SSO登录Plex的用户,该公司建议您通过访问https://plex.tv/security并点击“注销所有设备”按钮来注销所有活跃会话。同样,您需要使用您的凭据重新登录设备。
该公司还提醒用户启用双因素身份验证以增加保护,并强调它永远不会通过电子邮件索要密码或信用卡信息。
Plex表示,此次泄露不包括任何支付卡信息,因为这些信息并未存储在其服务器上。
该公司表示,它已经解决了用于入侵其服务器的方法,但没有分享关于此次攻击的进一步技术细节。
BleepingComputer已就此次泄露事件向Plex提出问题,并将在收到回复后更新文章。
这并非Plex用户首次因数据泄露而被迫重置密码。
2022年8月,Plex曾遭受过一次几乎相同的数据泄露事件,当时身份验证数据和哈希密码在攻击中被暴露。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
