News Plex gehackt: Passwörter, Benutzernamen und E-Mail-Adressen betroffen

...keine Ahnung warum hier so ein Bohei gemacht wird. Das Passwort lässt sich problemlos im Webinterface sowohl über den lokalen Webserver wie auch über die Plex-Webseite ändern. Zur Sicherheit habe ich danach den Server (am Server!) abgemeldet (Einstellungen -> Allgemein) und danach neu verbunden, ging völlig problemlos.

Im CB-Artikel ist die Supportseite von Plex zum Passwort-Reset verlinkt. Steht das in der Mail von Plex (die ich nicht bekam)? Die Prozedur benötigt man normalerweise nur, wenn man sich an sein Passwort nicht mehr erinnern kann und dann auf eine Mail mit Bestätigungslink von Plex warten muß. Kein Wunder, daß das bei zig-Millionen Nutzern derzeit dauert...
 
  • Gefällt mir
Reaktionen: s0ja
-AKI- schrieb:
wüste nicht mal ansatzweise, was ich mit Plex vermissen könnte/würde.
Plex war ein Game Changer für mich. Hatte früher diverse Player, auf nem FireTV z.B. Kodi laufen etc. Und jedes Mal bei neuer Hardware das Problem wieder von vorne anzufangen.
Plex ist jetzt meine zentrale Medienbibliothek.
Filme, Serien, Hörbücher. Alles ordentlich katalogisiert und verknüpft.
Egal ob ich auf meinem Fernseher, iPad, PC oder Handy schaue, ich habe immer meine zentrale Bibliothek verfügbar (per VPN auch außerhalb des Hauses). Auf dem Fernseher wird 4K HDR geschaut, unterwegs aufs iPad rechnet mir Kodi den selben Film Bandbreiten-sparend live auf 720p herunter. Meine Hörbücher werden auf dem Server synchronisiert, so dass ich egal mit welchem Gerät immer da weiterhören kann, wo ich augehört habe.
 
  • Gefällt mir
Reaktionen: klappi86 und Tiffosy
Fabian_otto schrieb:
Leider geht aber seit 2017 nix mehr ohne plex.tv. Sprich: Bist du offline, schaust du auch im eigenen Netz ohne Umwege erstmal kein Plex.
Das ist so einfach nicht richtig!
Im Lokalnetz braucht man 1. wofür Zugriff zu plex.tv und 2. welche Umwege?
 
Wieso sollten die bitte MD5 hashes bilden?
Wieso sollten Passwörter im Klartext gespeichert sein? Wieso geht das Wissen um Security vieler Programmierer nicht über die Berufsschule hinaus?
Wieso wurden die denn überhaupt gehackt?
Es hat halt schon alles gegeben.... Klartext Passwörter, MD5/SHA1 Passwörter ohne Salt... Unschuldig bis zum Beweis der Schuld.
 
madmax2010 schrieb:
https://www.gesetze-im-internet.de/urhg/__53.html
ist legal

@-Slayer- auch apple setzt nur standardmäßige email lösungen ein. Werden bei Amazon betrieben. Wie der großteil der Apple Infra
Nein, da ich den Kopierschutz aushebeln müsste.
Ergänzung ()

Creeping.Death schrieb:
Das ist Plex ziemlich egal. Du hattest gefragt, wie Plex arbeitet und ich habe es dir erklärt.
Besten Dank dafür. 🫶
 
axl foli schrieb:
Ok..ja..Dicke Nudel und so.
Und nun?
Haste 6x18TB und womit greifst du nun darauf zu? Wenn du schon die schicke HW auflistest dann nenn doch wenigstens das Backend was du verwendest um deinen Kram durch die Gegend zu streamen..sonst hat das einfach null Bezug zum Thema.
Wolltest nur angeben wa ;)
DSL 2000, der Server muss ja transkodieren und braucht Power :D
 
madmax2010 schrieb:
Ich finde es beunruhigend, dass sie von 'encrypted passwords' sprechen. Ich hoffe doch sehr, dass die hashen und nicht verschlüsseln.
Masamune2 schrieb:
Und wie gehashed? Gesalzen?

Gehasht und gesalzen laut Aussage eines Plex-Mitarbeiters.

3dfx_Voodoo5 schrieb:
Wozu Plex, wenn ich meine Videos auf OneDrive hochlade und dann für andere freigeben kann?

Gibt es für Fernseher, Tablets, Smartphones und Spielkonsolen Apps, aus denen heraus du diese Videos abspielen kannst?

3dfx_Voodoo5 schrieb:
Nein, da ich den Kopierschutz aushebeln müsste.

Wenn du auf dem Kopierschutz rumhacken möchtest: Nein, Plex wurde nicht für Deutschland mit seinen bekloppten Gesetzen zum Kopierschutz entwickelt. Plex geht davon aus, daß du einen Film oder eine Serie als Datei(en) vorliegen hast. Wenn es dir ums Verstehen der Funktionsweise geht und du keinen Kopierschutz umgehen möchtest, kannst du es mit dem Film Big Buck Bunny (2008) und der Serie The Scene probieren, die beide unter Creative-Commons-Lizenz veröffentlicht wurden und daher für jedermann frei zugänglich sind.

Die Daten müssen in einem bestimmten Ordner/Namensschema für Filme und Serien abliegen, damit die sgn. Scraper die Informationen aus Datenbanken wie themoviedb.org, thetvdb.com, tvmaze.com, imdb.com usw. holen können. Einen Scraper kann man sich wie einen Menschen vorstellen, der den Namen und das Veröffentlichungsjahr eines Films bzw. einer Serie in das Suchfeld einer der oben genannten Seiten eingibt, den passenden Treffer anklickt, danach Poster, Hintergründe, Darstellerphotos, Handlung etc. herunterlädt und in einer lokalen Datenbank speichert. Das ganze passiert automatisiert innerhalb von (Milli)Sekunden durch ein API. Am Ende steht eine hübsche Medienbibliothek, durch die man z. B. mit Cover-Flow bättern kann.



Finde es befremdlich, daß auf einer Seite wie CB Leute mit der Löschung auf das Melden eines Datenlecks durch den Hersteller reagieren. Wie schon in ein paar anderen Kommentaren angesprochen ist das genau die Art und Weise, wie man damit umgehen soll: Lücke schließen, Kunden informieren, zur Passwortänderung (+ ggf. 2FA) auffordern. Alles paletti. Da gibt es -zig andere Firmen, die es totschweigen, auf Meldungen an verschiedene ihrer Kontaktstellen gar nicht reagieren, die Melder vielleicht sogar noch verklagen, immer nur so viel zugeben, wie sich nicht leugnen läßt, und ihre kleingehaltene IT mit mickrigem Budget hinter »krimineller Energie von Hackern« verstecken. fefe hat das neulich schön ausgedrückt: »Das Hauptproblem von unserem undichten Dach ist der Regen!!1!«

Man kann Plex die Expansions- oder Preispolitik vorhalten, auch das Integrieren von immer mehr Diensten, nach denen kein Benutzer gefragt hat, oder das jahrelange Ignorieren von Nutzerwünschen aus dem Forum. Mit dem Datenleck sind sie allerdings vernünftig umgegangen.

Immerhin verstehe ich jetzt, weshalb andere Firmen sich so wie oben beschrieben verhalten und die Leute belügen, solange es nur geht: Dann kündigt die tumbe Masse nämlich nicht.
 
  • Gefällt mir
Reaktionen: Zensai, Dark_Soul, Iwwazwersch und 9 andere
Und deswegen benutze ich schon länger keine Software mehr wo ich einen Drecksaccount mit Angaben zu meiner Person erstellen muss! Ein hoch auf. Standalone Lizenzen und Software die lokal laufen kann.
Erst habe ich mein Kennwort geändert. Dann merkte ich „hast Du 6 Jahre nicht mehr genutzt …“ und gelöscht. Easy!
Auch ein Hoch auf wegwerfmailadressen der eigenen Domäne 😁

@DeusoftheWired
Doch, genau derart muss man da reagieren! Einfach abwandern als Kunde. Anfangen sein Verhalten anzupassen. Wenn so große Firmen es nicht schaffen meine Benutzerdaten sicher zu verwahren, dann danke nein. Ich weiß auch von Fällen wo man hätte Meldung geben müssen und dies nicht tat - waren keine Passwörter, aber dennoch Benutzerdaten. Geht gar nicht! Allerdings kann man eben auch nicht mehr machen als das den Datenschutzbeauftragten des Landes mitzuteilen.
 
Fabian_otto schrieb:
Leider geht aber seit 2017 nix mehr ohne plex.tv. Sprich: Bist du offline, schaust du auch im eigenen Netz ohne Umwege erstmal kein Plex. Sehr nervig! Das ging zuvor schon mal besser. Aber Plex will es eben so.
Was halt echt irgendwie blöd ist. Wenn das Internet ausfällt (und ich z.B. kein Netflix schauen kann) ist dann meine eigentlich lokal vorhandene Filmbibliothek nicht mehr erreichbar? Irgendwo sinnfrei.

User007 schrieb:
Das ist so einfach nicht richtig!
Im Lokalnetz braucht man 1. wofür Zugriff zu plex.tv und 2. welche Umwege?
Bist du da sicher? Ich hab am Sonntag noch einen neuen Plexserver mit neuem Plex-Account aufgesetzt. Ich hab keine Möglichkeit gesehen, irgendwo ohne diesen Account weiter zu kommen. Muss aber auch zugeben, dass ich nicht lange gesucht habe.
 
DeusoftheWired schrieb:
Wenn es dir ums Verstehen der Funktionsweise geht und du keinen Kopierschutz umgehen möchtest, k
Danke. Ging es mir.
DeusoftheWired schrieb:
Gibt es für Fernseher, Tablets, Smartphones und Spielkonsolen Apps, aus denen heraus du diese Videos abspielen kannst?
Außer für Fernseher und die dämlichen Sony Konsolen gibt es OneDrive für alles und jeden. Ja.
Bei Fernsehern kann ich keine Auskunft geben, da ich niemals eine App auf einen Fernseher installieren und nutzen würde, wenn ich eine Konsole oder sonstige Mediaplayer an diesem über AVR angeschlossen habe.
Sich so massiv einschränken lassen, indem jemand Apps für einen Fernseher nutzt, finde ich sehr eigenartig.
 
User007 schrieb:
Das ist so einfach nicht richtig!
Im Lokalnetz braucht man 1. wofür Zugriff zu plex.tv und 2. welche Umwege?
Siehe Plexforum. Das wurde mit PMS Version 1.13 geändert. "plex.tv Login is mandatory".
Im eigenen Netz nur solange du vorher bei Plex.tv angemeldet warst. Rein offline geht plex leider definitiv NICHT.

Probier es doch mal. PMS deinstallieren und dann installieren. Ohne plex.tv nicht möglich.
 
Silencium schrieb:
Doch, genau derart muss man da reagieren! Einfach abwandern als Kunde. Anfangen sein Verhalten anzupassen. Wenn so große Firmen es nicht schaffen meine Benutzerdaten sicher zu verwahren, dann danke nein. Ich weiß auch von Fällen wo man hätte Meldung geben müssen und dies nicht tat - waren keine Passwörter, aber dennoch Benutzerdaten. Geht gar nicht! Allerdings kann man eben auch nicht mehr machen als das den Datenschutzbeauftragten des Landes mitzuteilen.

Es gibt verschiedene Statistiken, wieviele Bugs durchschnittlich auf 1000 Zeilen Code kommen, die meisten nennen eine niedrige bis mittlere zweistellige Zahl. Es wird nie hundertprozentig bugfreien Code geben, selbst in Raumfahrtprojekten nicht, die sich dreifach absichern und bei denen dreistellige Millionenbeträge bei Fehlfunktion verpuffen. Selbst OpenBSD, das sich Sicherheit durch Auditierungen auf die Fahnen geschrieben hat, hatte ausnutzbare Fehler.
Jeden Tag werden neue Exploits für verschiedenste Programme gefunden. Die kann man entweder im Darknet verhökern, selbst ausnutzen, den Herstellern kostenlos melden oder mit Belohnung via Bug-Bounty-Programm. Man muß sich von der Vorstellung verabschieden, niemals Programme ohne Löcher zu verwenden.

Eine Kündigung als Bestrafung für den Betreiber ist gerechtfertigt, wenn dieser wider besseres Wissen gängige Sicherheitspraxis nicht angewendet hat und z. B. Passwörter im Klartext gespeichert, mit als gebrochen geltenden Hashes wie MD5 ohne Salt gespeichert oder keine Sicherheitsaktualisierungen für verwendete Programme eingespielt hat. Dann kann und sollte man mit der Brieftasche bestrafen. Aktuell haben wir keine Anzeichen dafür, daß sich Plex etwas davon zu Schulden kommen lassen hat.

3dfx_Voodoo5 schrieb:
Außer für Fernseher und die dämlichen Sony Konsolen gibt es OneDrive für alles und jeden. Ja.

Das ist ein One-Drive-Client. Das ist etwas anderes als die Plex-App. Kannst du direkt aus dem One-Drive-Client heraus eine Videodatei abspielen oder mußt du sie erst auf das Endgerät herunterladen und dann mit einem anderen Abspielprogramm öffnen? Plex streamt das ganze nur (bietet aber auch das Herunterladen an, wie man will).

Fabian_otto schrieb:
Rein offline geht plex leider definitiv NICHT.

Das geht sehr wohl, benötigt allerdings eine einmalige Onlineverbindung für das Setzen und Übernehmen der Einstellungen. Danach kann man es aber ausschließlich lokal verwenden.
 
  • Gefällt mir
Reaktionen: Iwwazwersch, Schokolade, hans_meiser und 3 andere
Fabian_otto schrieb:
[...] PMS deinstallieren und dann installieren.
Warum zur Hölle sollte ich das denn ohne Not machen - in welchen ausschließlichen Fällen ist denn eine Neu-Installation der Software obligatorisch?
Doch jedenfalls nicht bei Passwortänderung oder Anpassung von Sicherheitsoptionen.​
Fabian_otto schrieb:
Im eigenen Netz nur solange du vorher bei Plex.tv angemeldet warst.
Und auch das ist nicht richtig - ich war noch NIE bei plex.tv angemeldet!

Btw.:
DeusoftheWired schrieb:
Man muß sich von der Vorstellung verabschieden, niemals Programme ohne Löcher zu verwenden.
Weil, wie meine Sig. so schön verdeutlicht/verdeutlichen sollte, es eben für NICHTS auf dieser Kugel 100% Sicherheit gibt. 🤷‍♂️​
 
@DeusoftheWired Du hast mit vielen Aussagen Recht und ja 100% sicher gibt es nicht. Nur damit ich Kunde bleibe würde ich absolute Transparenz verlangen und nicht nur die Meldung über das Abhandenkommen meiner persönlichen Daten. Nur dadurch kann ich für mich als technisch versierte Person nachvollziehen ob dieser Angriffsvektor hätte bei der Unternehmensgröße verhindert werden „müssen“.
Ich kann nur aus meiner Erfahrung sprechen und sagen: erschreckend viele Angriffe hätten mit super simplen Konzepten verhindert werden können!
 
Silencium schrieb:
[...] erschreckend viele Angriffe hätten mit super simplen Konzepten verhindert werden können!
Das gilt doch dann aber für Alle und Jeden (sowohl Gewerbetreibende als auch Private), oder?
Allerdings unterliegt auch das
Silencium schrieb:
Nur damit ich Kunde bleibe würde ich absolute Transparenz verlangen [...]
wieder dem Wunschverlangen nach etwas 100%igem - einfach utopisch.
Aus nachvollziehbaren von für die Unternehmen priorisierten wirtschaftsbedingten Gründen ist doch
Silencium schrieb:
[...] nur die Meldung über das Abhandenkommen meiner persönlichen Daten.
sowas an Aufwand das wohl maximal Möglichste auf nicht gesetzlich verpflichtender Basis bereits erreicht.
Vllt. muß allgemein auch einfach mal die Erwartungshaltung mehr in Richtung durch praktizierte Wirtschaftskomplexitäten diktierte Realität angeglichen werden!? 🤔​
 
3dfx_Voodoo5 schrieb:
Wozu Plex, wenn ich meine Videos auf OneDrive hochlade und dann für andere freigeben kann?

Ist salop gesagt dein eigenes Heim netflix, bei dir zu Hause auf deinem eigenen Server hast du deine Medien und jedes Gerät bei dir zu Hause kann da mit plex Client drauf zugreifen, praktisch jeder moderner TV oder Konsole oder streaming Boxen können die App installieren...... Und nicht vergessen alles offline in dem eigenen Heim Netz und zusätzlich wenn man will greift man von außen zu
 
  • Gefällt mir
Reaktionen: 3dfx_Voodoo5
Mein Plex-Server hängt nicht im Internet (Fernzugriff nicht erlaubt), 2FA ist aktiviert (seit es die Option gibt), singuläres Passwort, bisher keine Mail von Plex erhalten (allerdings auch nicht für irgendwelche Newsletter angemeldet).

Ich sehe für mich jetzt keinen akuten Handlungsbedarf, werde sicherlich in ein paar Tagen mal das Passwort ändern wenn sich die Plex-Infrastruktur da draußen etwas beruhigt hat.


3dfx_Voodoo5 schrieb:
Wozu Plex, wenn ich meine Videos auf OneDrive hochlade und dann für andere freigeben kann?

Oder übersehe ich den Sinn für Plex?
Wow, Du betreibst einen eigenen OneDrive-Server in Deinem privaten Netzwerk für viele (!) Videos? Kaum zu glauben, da dafür zweifellos eine einfache Netzwerkfreigabe reichen würde. Oder gewährt Dir Microsoft so unglaublich viel Online-Speicherplatz dass da eine ganze Videosammlung hochgeladen werden kann? Wie hast Du das mit der individuellen Beschreibung der einzelnen Videodateien gelöst und wie kriegt der geneigte freigegebene andere eine schicke und übersichtliche Präsentation zum stöbern? Und zur zweiten Frage: Ja.
 
Zurück
Oben