Plex: Dritte hatten möglicherweise Zugriff auf Kontoinformationen
von caschy | 12 Kommentare
Die Entwickler des Mediaservers und -players Plex informieren Kunden über eine mögliche Datenschutzverletzung. Gestern habe man verdächtige Aktivitäten in einer der Datenbanken entdeckt. Man habe sofort eine Untersuchung eingeleitet, und es scheint, dass ein Dritter auf eine begrenzte Menge von Daten zugreifen konnte, darunter E-Mails, Benutzernamen und verschlüsselte Passwörter. Obwohl alle Passwörter, auf die man hätte zugreifen können, gemäß den besten Praktiken verschlüsselt und gesichert wurden, schlägt man aus reiner Vorsicht vor, dass alle Plex-Konten ihr Passwort zurücksetzen. Kreditkarten- und andere Zahlungsdaten sind nicht auf den Servern gespeichert sind und bei diesem Vorfall nicht gefährdet waren.
| # | Vorschau | Produkt | Preis | |
|---|---|---|---|---|
| 1 |
|
Synology DS223J 2 Bay Desktop NAS, weiß |
192,00 EUR |
Bei Amazon ansehen |
| 2 |
|
Synology DiskStation DS224+ 2 Bay Dekstop NAS |
339,00 EUR |
Bei Amazon ansehen |
| 3 |
|
Synology DS923+ 4 Bay Desktop NAS Ryzen R1600 Dual-Core |
598,00 EUR |
Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Was ist den mit Konten die mit einem Dienst wie Google verknüpft sind und für Plex kein extra Passwort erstellt sind?
Haste dir ja schon selbst beantwortet.
Nun, da wird auf den Servern von Plex ja auch nicht dein Google Passwort gespeichert, sondern ein OAuth-Token. Sprich, Plex bekommt nur von Google einen Identifier deines Kontos, vermutlich deine GMail-Adresse, und das Token und kann dann gegen Googles API prüfen, ob du eingeloggt bist, oder eine Authentifizierung fällig ist.
Sprich, in dem Fall wäre als Benutzer nichts zu tun. Selbst wenn die Angreifer den Token haben, sind sie ja auf anderen Geräten nicht an deinem Google Konto angemeldet. Da wäre das Problem eher umgekehrt, wenn die Angreifer auf dein Google Konto Zugriff hätten, könnten sie auch auf dein Plex Konto zugreifen.
Der App den Zugriff in Google entziehen und neu verknüpfen ist die sichere Art damit umzugehen. Wir wissen nicht doch auch Session Tokens entwendet wurden.
Vielen Dank für den Hinweis; GMX hatte die Warnmail von Plex nämlich im Spam-Ordner versteckt. :-/
Wow…. Schon das zweite Mal, dass denen das passiert ist. Haben sie aus dem Vorfall vom 2015 schon nichts gelernt?
2015 wurde das Forum gehackt nicht Plex Selbst
Wow… 7 Jahre später findet wieder ein Angriff statt, bei dem der Anbieter sofort transparent informiert und Gegenmaßnahmen getroffen werden. Bei sowas zu unterstellen, dass nichts gelernt wurde, ist schon extrem naiv. Schließlich sind auch die Hacker nicht mehr auf dem Stand von 2015. Wer nichts lernt, ist die Deutsche Bahn.
Die Passwörter bei Plex sind nicht verschlüsselt sondern gehashed.
Kommt davon wenn man GMX benutzt
Häme von jemandem, der nicht mal den Antworten-Button findet, trifft mich jetzt nicht gerade bis ins Mark. 🙂 Meine beiden GMX-Accounts werden in der Regel für Newsletter oder Registrierungen bei irgendwelchen Diensten verwendet, für E-Mail-Korrespondenz nutze ich meine eigene Domain.
Und jetzt ist Plex gerade komplett offline… hoffentlich nur kurzfristig