[English]Kurzer Nachtrag zu einem unerfreulichen Sicherheitsthema. Gestern ist bekannt geworden, dass es beim Anbieter Plex (Streaming-Dienst, Medien-Server) einen Sicherheitsvorfall gab. Angreifern ist es wohl gelungen auf einen Teil der Daten der Nutzerbasis dieses Anbieters zuzugreifen. Dabei könnten Benutzernamen, E-Mails und die verschlüsselten Passwörter abgeflossen sein. Plex-Nutzer sind aufgefordert, vorsorglich die Passwörter für den Plex-Zugang zu ändern.
Anzeige
Ich bin gestern bereits auf die Info gestoßen, war aber nicht im Büro. Inzwischen haben mich Blog-Leser (danke an Knut S. und Michael T. für den Hinweis) auf das Thema hingewiesen. Auch Troy Hunt ist wohl Opfer dieses Sicherheitsvorfalls geworden, wie ich folgendem Tweet entnehme.
Wer ist Plex?
Für Noobs wie mich eine kurze Erkärung: Plex ist ein amerikanischer Streaming-Media-Dienst und eine Client-Server-Media-Player-Plattform von Plex, Inc. Der Plex Media Server organisiert Video, Audio und Fotos aus den Sammlungen eines Benutzers und von Online-Diensten und streamt sie an die Player.
Der Plex-Datenschutzvorfall
Der Anbieter Plex hat wohl seine Benutzerbasis per E-Mail über einen Datenschutzvorfall informiert. Am 23. August 2022 hat Plex verdächtige Aktivitäten in einer ihren Datenbanken entdeckt. Es wurde sofort eine Untersuchung eingeleitet, und es hat den Anschein, dass ein Unbefugter Dritter in der Lage war, auf eine begrenzte Teilmenge von Daten zuzugreifen, die E-Mails, Benutzernamen und verschlüsselte Passwörter umfasst. Kreditkarten- und andere Zahlungsdaten waren nicht auf den Servern gespeichert und waren bei diesem Vorfall nicht gefährdet.
Anzeige
Obwohl alle Passwörter, auf die man hätte zugreifen können, verschlüsselt und gesichert wurden, verlangt Plex als Vorsichtsmaßnahme, dass alle Benutzer ihr Passwort für Plex-Konten zurücksetzen. Der vollständige Text der englischsprachigen Mail vom 24. August 2022 an die Benutzer wurde mir von zwei Betroffenen übermittelt und ist nachfolgend einsehbar.
Action required: Important notice of a potential data breach
Dear Plex User,
We want you to be aware of an incident involving your Plex account information yesterday. While we believe the actual impact of this incident is limited, we want to ensure you have the right information and tools to keep your account secure.
What happened
Yesterday, we discovered suspicious activity on one of our databases. We immediately began an investigation and it does appear that a third-party was able to access a limited subset of data that includes emails, usernames, and encrypted passwords. Even though all account passwords that could have been accessed were hashed and secured in accordance with best practices, out of an abundance of caution we are requiring all Plex accounts to have their password reset. Rest assured that credit card and other payment data are not stored on our servers at all and were not vulnerable in this incident.
What we're doing
We've already addressed the method that this third-party employed to gain access to the system, and we're doing additional reviews to ensure that the security of all of our systems is further hardened to prevent future incursions. While the account passwords were secured in accordance with best practices, we're requiring all Plex users to reset their password.
What you can do
Long story short, we kindly request that you reset your Plex account password immediately. When doing so, there's a checkbox to "Sign out connected devices after password change." This will additionally sign out all of your devices (including any Plex Media Server you own) and require you to sign back in with your new password. This is a headache, but we recommend doing so for increased security. We have created a support article with step-by-step instructions on how to reset your password here.
We'd also like to remind you that no one at Plex will ever reach out to you to ask for a password or credit card number over email. For further account protection, we also recommend enabling two-factor authentication on your Plex account if you haven't already done so.
Lastly, we sincerely apologize to you for any inconvenience this situation may cause. We take pride in our security system and want to assure you that we are doing everything we can to swiftly remedy this incident and prevent future incidents from occurring. We are all too aware that third-parties will continue to attempt to infiltrate IT infrastructures around the world, and rest assured we at Plex will never be complacent in hardening our security and defenses.
For step-by-step instructions on how to reset your password, visit
Thank you,
The Plex Security Team
Anzeige
Betrifft das nur aktive Accounts oder auch welche, die da mal angemeldet waren?
Hatte mir (warum auch immer) da mal einen Account gemacht und vor ein paar Monaten meinen Account gelöscht.
Im Nachhinein ziemlich froh drum.
Ich denke, wenn Du keine Benachrichtigung bekommen hast, wirst Du nicht betroffen sein – wobei eine Mail bei dir keinen Sinn macht, da das Konto gelöscht wurde und daher auch kein Passwort zurückgesetzt werden kann. Vermute, dass Plex eine forensische Analyste macht und falls betroffen, auch Leute mit gelöschten Konten benachrichtigt.
Sorgen solltest du dir nur machen, hast du das damailige Passwort auch für andere, noch genutzte, Dienste verwendet…
Genau das ist die Schwachstelle, die mich davon abgehalten hat auf die Dienste von Plex zurückzugreifen und statt dessen Emby bzw. den Jellyfin-Fork zu nutzen.
Man zahlt für eine Lizenz, um seine eigenen Medien, die man daheim hostet… die aber nur mit einem Onlinekonto nutzbar ist. Schlechtes Geschäft… und nun (zum wiederholten Male, passierte schon 2015, auch da war ein Reset erforderlich) ein Sicherheitsleck bei Plex.
Wird es nicht langsam an der Zeit, das Accountmanagement den Abonnenten zurückzugeben und statt dessen nur die Lizenz einer dauerhaften Onlineprüfung zu unterziehen? Klappt bei Emby ja auch…