Los nombres de usuario, las direcciones de correo electrónico y las contraseñas encriptadas se revelaron como resultado de una violación de datos de Plex. Se desconoce el alcance de la brecha de seguridad, pero la corporación exige cambios de contraseña para todos los usuarios.
La incapacidad de los servidores Plex para manejar el volumen de usuarios que buscan utilizarlos, junto con una serie de otros problemas, complicaron la situación.
Se confirma violación de datos de Plex
Esta mañana, Plex envió un correo electrónico a todos los usuarios para informarles que un tercero podía acceder a “un pequeño subconjunto de datos”, aunque no especificó cuántas cuentas se vieron afectadas.
“Queremos que esté al tanto de un incidente que involucró la información de su cuenta Plex ayer. Si bien creemos que el impacto real de este incidente es limitado, queremos asegurarnos de que tenga la información y las herramientas adecuadas para mantener su cuenta segura.
Ayer, descubrimos actividad sospechosa en una de nuestras bases de datos. Inmediatamente comenzamos una investigación y parece que un tercero pudo acceder a un subconjunto limitado de datos que incluye correos electrónicos, nombres de usuario y contraseñas cifradas. A pesar de que todas las contraseñas de las cuentas a las que se podría haber accedido se codificaron y aseguraron de acuerdo con las mejores prácticas, por precaución, solicitamos que se restablezcan las contraseñas de todas las cuentas de Plex. Tenga la seguridad de que la tarjeta de crédito y otros datos de pago no se almacenan en absoluto en nuestros servidores y no fueron vulnerables en este incidente.
Ya abordamos el método que empleó este tercero para obtener acceso al sistema, y estamos realizando revisiones adicionales para garantizar que la seguridad de todos nuestros sistemas se refuerce aún más para evitar futuras incursiones. Si bien las contraseñas de las cuentas se aseguraron de acuerdo con las mejores prácticas, solicitamos a todos los usuarios de Plex que restablezcan su contraseña.
Para resumir, le solicitamos amablemente que restablezca la contraseña de su cuenta Plex de inmediato. Al hacerlo, hay una casilla de verificación para “Cerrar sesión en los dispositivos conectados después del cambio de contraseña”. Esto también cerrará la sesión de todos sus dispositivos (incluido cualquier Plex Media Server que posea) y le pedirá que vuelva a iniciar sesión con su nueva contraseña. Esto es un dolor de cabeza, pero recomendamos hacerlo para mayor seguridad. Hemos creado un artículo de soporte con instrucciones paso a paso sobre cómo restablecer su contraseña aquí.
No se requerían cambios de contraseña en el momento de escribir este artículo. Mientras tanto, algunos de los que lo intentan afirman que no han tenido éxito.
“No se puede cambiar la contraseña debido a un error interno del servidor”
“Seguí adelante e inicié sesión en mi cuenta para cambiar mi contraseña. La cosa es que eso no funcionó. Lo intenté varias veces, pero cuando envío el formulario de cambio de contraseña, aparece un icono giratorio durante unos 30 segundos y aparece “Error interno del servidor”. Algo salió mal de nuestra parte’”.
“También recibo una respuesta de error interno del servidor (500) cuando intento usar la función de restablecimiento de contraseña y cerrar sesión en todos los dispositivos conectados”.
Otras personas tienen problemas para volver a iniciar sesión a pesar de que pudieron cambiar sus contraseñas. Para sus propios servidores, muchos usuarios afirman recibir mensajes como “No autorizado” o “No tiene acceso a este servidor”. Mientras que algunos han tenido éxito después de iniciar sesión y recuperar el servidor, otros no.
Parece que Plex no ha configurado suficiente ancho de banda adicional para manejar el frenesí de los intentos de cambio de contraseña. Además, la página de restablecimiento de contraseña solicita inesperadamente la nueva contraseña antes que la anterior, lo que puede ser la causa de algunas fallas.
Plex recomienda configurar la autenticación de dos factores en la configuración de su cuenta. Tenga en cuenta que 2FA no está disponible si se registró con una cuenta de Google u otra cuenta en lugar de su dirección de correo electrónico.
Además de disculparse por la violación de datos de Plex, la firma declaró que ahora está examinando su seguridad.
Vale la pena esperar unas horas antes de volver a intentarlo si no puede acceder a su cuenta o cambiar su contraseña (siempre que use contraseñas seguras y únicas que impidan el acceso a cualquiera de sus otras cuentas en caso de una violación ).
Cuando se descubrió una función de lista de vigilancia universal para permitir que los niños accedan a contenido prohibido, Plex se encontró con controversia por última vez en abril. Si aún no ha probado la plataforma, consulte nuestra guía que muestra cómo crear un servidor multimedia con Plex.
Source: Violación de datos de Plex: los correos electrónicos y las contraseñas están expuestos
