流行的流媒体平台Plex正在向其客户发送电子邮件,通知他们最近的安全漏洞,该漏洞损害了该公司的用户帐户数据。被盗数据包括电子邮件 ID、用户名和密码。
普莱克斯的通知详情
该公司向客户发送的消息指出,所有帐户密码都使用业界公认的最佳实践进行保护,这意味着它们都是加密的。尽管如此,仍有迹象表明密码已被访问。因此,它建议用户立即更改其密码。
此外,该电子邮件声称支付卡数据未存储在受感染的数据库中。因此,它不受影响。该公司还建议用户在更改密码后注销所有连接的设备,然后重新登录以实施更改。
密码是否被盗用?
该公司强调,密码是加密的,因此攻击者需要使用其他工具破解哈希值,以将其更改为明文格式。Plex的发言人表示,密码是用bcrypt散列的,这是最强大,最安全的密码保护算法之一,使破解更加困难。
发生了什么事?
周三,多个Plex媒体流网站用户抱怨说,他们发现很难登录他们的帐户。安全研究员特洛伊·亨特(Troy Hunt)也抱怨并发布了他尝试访问其帐户时显示的错误屏幕截图。
后来,Plex证实被黑客入侵,并解释说攻击者设法访问了其专有数据库,并窃取了至少1500万至3000万客户的用户名,电子邮件和密码。
“昨天,我们在其中一个数据库上发现了可疑活动。我们立即开始调查,似乎第三方确实能够访问有限的数据子集,包括电子邮件,用户名和加密密码。”
Plex指出,没有证据表明其用户的任何其他私人信息被访问或泄露,因为入侵者无法访问可能包含私人裸体,盗版内容和其他敏感媒体文件的私人媒体库。
Plex发送的电子邮件通知
该公司已经确定了此漏洞的来源和原因,并承诺迅速减轻威胁并防止其他人利用该漏洞。它敦促用户启用2FA,并在其所有应用程序,站点和服务中使用难以猜测的密码。
这不是Plex第一次遭受安全漏洞。2015年7月,一名黑客窃取了属于Plex讨论论坛的数据库。该数据库载有327 000名注册用户的个人详细资料。
黑客继续要求赎金9.5比特币(当时为2,427美元或2,190欧元)。目前,Plex 公司官员表示已发现入侵者用来访问数据库的手段,并对其进行了修复。后续,技术人员会进行额外的审查,以防止再次发生类似的违规行为。
原文转自hackread,超级科技译,合作站点转载请注明出处和原文译者为超级科技!
Hi,我是超级科技
超级科技是信息安全专家,能无上限防御DDos攻击和CC攻击,阿里云战略合作伙伴!
2826
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
