Plex - "potential data breach"

[Creeping.Death]

@SVΞN vielleicht etwas für die News auf der Startseite? Plex dürfte doch ziemlich verbreitet sein.

Das habe ich heute via Mail bekommen:

 

[wickedgonewild]

Hab ich auch bekommen.

 

[itsDNNS]

Auch gerade erhalten, ärgerlich.

 

[SubNatural]

Bin zwar nicht betroffen, aber was

all account passwords [..] were hashed and secured with best practices

Da würde mich mal interessieren, wie deren best practices aussehen. Oft genug gesehen, dass Passwörter bescheuert per MD5 (oder SHA) gehasht wurden, was so mit Haushalts-PCs schon in ein paar Minuten geknackt werden kann.

 

[Creeping.Death]

Ärgerlich vor allem, weil (bisher) kein Hinweis darauf auf der offiziellen Homepage zu finden ist.

 

[itsDNNS]

Naja immerhin haben sie wohl relativ schnell informiert, innerhalb von zwei tagen, anstatt wie sonst üblich mehrere Monate später.

 

[Creeping.Death]

Ich hoffe, die wissen überhaupt, welche Schwachstelle ausgenutzt wurde.

 

[Dante2000]

Danke für die Info. Habe bisher keine Benachrichtigung erhalten, stelle jedoch fest, das Plex generell Probleme zu haben scheint.

Sowohl eine "Verifizierungs-Email" an mein seit Jahren hinterlegten Mail-Account wird nicht versendet als auch meine Passwortänderung mit einem "Internal Server Error. Something went wrong on our end" quittiert.

 

[fuchen]

Hab's auch gerade gelesen, selbst aber noch keine Mail erhalten.
Könnte gut heißen, dass ich nicht betroffen bin, werde aber mal die Passwörter checken.

 

[Creeping.Death]

Habe bisher keine Benachrichtigung erhalten, stelle jedoch fest, das Plex generell Probleme zu haben scheint.

Ich vermute deren Server sind momentan ziemlich unter Last, weil jetzt alle gleichzeitig ihre Accounts aktualisieren möchten.

 

[Paddy0293]

Sind davon jetzt alle betroffen ?
Habe noch keine Mail bekommen 🤨

 

[Dante2000]

Ich vermute deren Server sind momentan ziemlich unter Last, weil jetzt alle gleichzeitig ihre Accounts aktualisieren möchten.

Scheint durchaus der Fall zu sein. Zumindest sind gerade die "Verifizierungsemails" angekommen. Somit kann ich zumindest 2FA aktivieren und dann im laufe des Tages mein "simples" 8-Zeichen-Kennwort auf ein neues 64-Zeichen langes aktualisieren.

EDIT: Kennwort-Änderungen sowie MFA Aktivierungen funktionieren aktuell scheinbar nicht. Naja, dann nachher nochmal prüfen und aktualisieren.
EDIT2: Beides funktioniert nun bei mir.

 

[SpiII]

Gerade beim lesen dieses Threads die E-Mail bekommen.
Die Lücke wird hoffentlich schnell behoben.

Server sind überlastet. Werde später erneut die Passwortänderung versuchen.

 

[Creeping.Death]

Empfehlung an alle: 2FA aktivieren!

 

[LuminousVision]

Ich hoffe, die wissen überhaupt, welche Schwachstelle ausgenutzt wurde.

Steht halt in der Mail drin.

 

[Creeping.Death]

Steht halt in der Mail drin.

Es liest sich nur ein wenig "wachsweich":

We've already addressed the method that this third-party employed to gain access to the system

in Verbindung mit

We immediately began an investigation and it does appear that a third-party

hört sich für mich noch nicht so nach 100% an.

 

[derbe]

Danke für die Info, Passwort ist geändert. Jetzt ist bei mir überall wo es geht 2FA an