流媒体巨头Plex遭黑客攻击， 批量重置数百万密码

流行的流媒体平台Plex正在向其客户发送电子邮件，通知他们最近的安全漏洞，该漏洞损害了该公司的用户帐户数据。被盗数据包括电子邮件 ID、用户名和密码。

普莱克斯的通知详情

该公司向客户发送的消息指出，所有帐户密码都使用业界公认的最佳实践进行保护，这意味着它们都是加密的。尽管如此，仍有迹象表明密码已被访问。因此，它建议用户立即更改其密码。

此外，该电子邮件声称支付卡数据未存储在受感染的数据库中。因此，它不受影响。该公司还建议用户在更改密码后注销所有连接的设备，然后重新登录以实施更改。

密码是否被盗用？

该公司强调，密码是加密的，因此攻击者需要使用其他工具破解哈希值，以将其更改为明文格式。Plex的发言人表示，密码是用bcrypt散列的，这是最强大，最安全的密码保护算法之一，使破解更加困难。

发生了什么事？

周三，多个Plex媒体流网站用户抱怨说，他们发现很难登录他们的帐户。安全研究员特洛伊·亨特（Troy Hunt）也抱怨并发布了他尝试访问其帐户时显示的错误屏幕截图。

后来，Plex证实被黑客入侵，并解释说攻击者设法访问了其专有数据库，并窃取了至少1500万至3000万客户的用户名，电子邮件和密码。

“昨天，我们在其中一个数据库上发现了可疑活动。我们立即开始调查，似乎第三方确实能够访问有限的数据子集，包括电子邮件，用户名和加密密码。”

Plex指出，没有证据表明其用户的任何其他私人信息被访问或泄露，因为入侵者无法访问可能包含私人裸体，盗版内容和其他敏感媒体文件的私人媒体库。

Plex发送的电子邮件通知

该公司已经确定了此漏洞的来源和原因，并承诺迅速减轻威胁并防止其他人利用该漏洞。它敦促用户启用2FA，并在其所有应用程序，站点和服务中使用难以猜测的密码。

这不是Plex第一次遭受安全漏洞。2015年7月，一名黑客窃取了属于Plex讨论论坛的数据库。该数据库载有327 000名注册用户的个人详细资料。

黑客继续要求赎金9.5比特币（当时为2，427美元或2，190欧元）。目前，Plex 公司官员表示已发现入侵者用来访问数据库的手段，并对其进行了修复。后续，技术人员会进行额外的审查，以防止再次发生类似的违规行为。

原文转自hackread，超级科技译，合作站点转载请注明出处和原文译者为超级科技！

Hi，我是超级科技

超级科技是信息安全专家，能无上限防御DDos攻击和CC攻击，阿里云战略合作伙伴！