Plex: Dritte hatten möglicherweise Zugriff auf Kontoinformationen

Die Entwickler des Mediaservers und -players Plex informieren Kunden über eine mögliche Datenschutzverletzung. Gestern habe man verdächtige Aktivitäten in einer der Datenbanken entdeckt. Man habe sofort eine Untersuchung eingeleitet, und es scheint, dass ein Dritter auf eine begrenzte Menge von Daten zugreifen konnte, darunter E-Mails, Benutzernamen und verschlüsselte Passwörter. Obwohl alle Passwörter, auf die man hätte zugreifen können, gemäß den besten Praktiken verschlüsselt und gesichert wurden, schlägt man aus reiner Vorsicht vor, dass alle Plex-Konten ihr Passwort zurücksetzen.  Kreditkarten- und andere Zahlungsdaten sind nicht auf den Servern gespeichert sind und bei diesem Vorfall nicht gefährdet waren.

In diesem Artikel sind Partner-Links enthalten, wir kennzeichnen ihn daher als Werbung. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Was ist den mit Konten die mit einem Dienst wie Google verknüpft sind und für Plex kein extra Passwort erstellt sind?

    • Haste dir ja schon selbst beantwortet.

    • Nun, da wird auf den Servern von Plex ja auch nicht dein Google Passwort gespeichert, sondern ein OAuth-Token. Sprich, Plex bekommt nur von Google einen Identifier deines Kontos, vermutlich deine GMail-Adresse, und das Token und kann dann gegen Googles API prüfen, ob du eingeloggt bist, oder eine Authentifizierung fällig ist.

      Sprich, in dem Fall wäre als Benutzer nichts zu tun. Selbst wenn die Angreifer den Token haben, sind sie ja auf anderen Geräten nicht an deinem Google Konto angemeldet. Da wäre das Problem eher umgekehrt, wenn die Angreifer auf dein Google Konto Zugriff hätten, könnten sie auch auf dein Plex Konto zugreifen.

    • Der App den Zugriff in Google entziehen und neu verknüpfen ist die sichere Art damit umzugehen. Wir wissen nicht doch auch Session Tokens entwendet wurden.

  2. Vielen Dank für den Hinweis; GMX hatte die Warnmail von Plex nämlich im Spam-Ordner versteckt. :-/

  3. Wow…. Schon das zweite Mal, dass denen das passiert ist. Haben sie aus dem Vorfall vom 2015 schon nichts gelernt?

    • 2015 wurde das Forum gehackt nicht Plex Selbst

    • Fritz Mukula says:

      Wow… 7 Jahre später findet wieder ein Angriff statt, bei dem der Anbieter sofort transparent informiert und Gegenmaßnahmen getroffen werden. Bei sowas zu unterstellen, dass nichts gelernt wurde, ist schon extrem naiv. Schließlich sind auch die Hacker nicht mehr auf dem Stand von 2015. Wer nichts lernt, ist die Deutsche Bahn.

  4. Die Passwörter bei Plex sind nicht verschlüsselt sondern gehashed.

  5. Kommt davon wenn man GMX benutzt

    • Häme von jemandem, der nicht mal den Antworten-Button findet, trifft mich jetzt nicht gerade bis ins Mark. 🙂 Meine beiden GMX-Accounts werden in der Regel für Newsletter oder Registrierungen bei irgendwelchen Diensten verwendet, für E-Mail-Korrespondenz nutze ich meine eigene Domain.

  6. Und jetzt ist Plex gerade komplett offline… hoffentlich nur kurzfristig

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.