8 月 24 日, Plex向其用户发送了一封电子邮件,警告他们在其服务器上检测到可疑活动。该公司认为用户的电子邮件、用户名和加密密码已被访问,因此它现在正在采取预防措施,要求所有客户重置密码。所有 Plex 客户端软件以及人们可能正在运行以管理其媒体的任何 Plex 服务器都需要这样做。
在发出的电子邮件中,Plex 管理层写道:
昨天,我们在我们的一个数据库中发现了可疑活动。我们立即开始调查,似乎第三方能够访问有限的数据子集,包括电子邮件、用户名和加密密码。尽管所有可能被访问的帐户密码都按照最佳实践进行了散列和保护,但出于谨慎考虑,我们要求所有 Plex 帐户重置其密码。请放心,信用卡和其他支付数据根本不会存储在我们的服务器上,并且在此事件中不会受到攻击。
据该公司称,它已经开始对未经授权的访问进行调查,并且用于进入 Plex 服务器的方法已得到“解决”,但尚不清楚该方法是否是由于未打补丁的软件造成的,即零日漏洞,或更基本的东西,例如内部安全漏洞。
Plex 进一步表示,它正在“进行额外的审查,以确保我们所有系统的安全性得到进一步加强,以防止未来的入侵。”
目前,Plex 对其用户的指导是简单地进行帐户密码重置,大约需要七个步骤。完成此操作后,您需要重新登录您使用的任何 Plex 软件,无论是在智能电视、流媒体设备还是用于访问 Plex 的任何其他硬件上。
不幸的是,必须经历这个过程的 Plex 用户的绝对数量似乎正在导致中断和错误。许多 Plex 用户在尝试更改密码或电子邮件时在 Twitter 上报告了问题。这一步我没有遇到问题,但是当我尝试在我的 Nvidia Shield TV 上使用新凭据重新登录时,我无法这样做。
希望随着 Plex 能够更好地处理对其基础设施的突然需求,这些问题将很快得到解决。