رخداد Data Breach در Plex؛ الزام کاربران به تغییر رمز عبور

سجاد تیموری 54 ثانیه پیشآخرین بروزرسانی: شهریور ۲۱, ۱۴۰۴

۰ 0 زمان مطالعه یک دقیقه

رخداد Data Breach در Plex؛ الزام کاربران به تغییر رمز عبور

پلتفرم Plex به کاربران خود هشدار داده است که پس از وقوع یک Data Breach، رمز عبور حساب‌هایشان را بازنشانی کنند. در این رخداد، مهاجم موفق به سرقت داده‌های احراز هویت مشتریان از یکی از پایگاه‌های داده این شرکت شده است.

طبق اطلاعیه نقض داده که توسط BleepingComputer مشاهده شده، داده‌های سرقت‌شده شامل آدرس‌های ایمیل، نام‌های کاربری، رمزهای عبور به‌صورت Securely Hashed و اطلاعات احراز هویت بوده است.

پلکس در این اطلاعیه اعلام کرد:
«یک شخص غیرمجاز به بخشی محدود از داده‌های مشتریان در یکی از پایگاه‌های داده ما دسترسی پیدا کرده است. هرچند حادثه به سرعت مهار شد، اما اطلاعاتی نظیر ایمیل‌ها، نام‌های کاربری و رمزهای عبور (به‌صورت امن و Hash شده) مورد دسترسی قرار گرفت.»

با وجود اینکه رمزهای عبور به‌صورت Hash ذخیره شده‌اند و قابل خواندن مستقیم نیستند، پلکس مشخص نکرده که از کدام الگوریتم Hashing استفاده شده است؛ موضوعی که احتمال تلاش مهاجمان برای Password Cracking را مطرح می‌کند.

به همین دلیل، پلکس به کاربران توصیه می‌کند به‌عنوان اقدام پیشگیرانه، رمز عبور خود را از طریق plex.tv/reset تغییر دهند و گزینه Sign out connected devices after password change را فعال کنند. این اقدام رمز عبور را تغییر داده و همه نشست‌های فعال با اعتبارنامه فعلی را خاتمه می‌دهد؛ هرچند کاربران باید مجدداً روی دستگاه‌های خود وارد حساب شوند.

برای کاربرانی که از SSO برای ورود استفاده می‌کنند، پلکس پیشنهاد می‌کند با مراجعه به plex.tv/security و انتخاب گزینه Sign out of all devices، از تمام نشست‌های فعال خارج شوند.

این شرکت همچنین به کاربران یادآوری می‌کند برای افزایش امنیت، Two-Factor Authentication را فعال کرده و توجه داشته باشند که پلکس هرگز از طریق ایمیل، درخواست رمز عبور یا اطلاعات کارت بانکی نمی‌کند.

پلکس تأکید کرده که در این حادثه هیچ داده مرتبط با کارت‌های پرداخت در معرض خطر قرار نگرفته است، چرا که این اطلاعات روی سرورهای آن ذخیره نمی‌شود.

روش مورد استفاده برای نفوذ شناسایی و برطرف شده، اما جزئیات فنی بیشتری منتشر نشده است. BleepingComputer اعلام کرده در صورت دریافت پاسخ از Plex، خبر را به‌روزرسانی خواهد کرد.

این نخستین‌بار نیست که کاربران Plex مجبور به بازنشانی رمز عبور خود به دلیل نقض داده می‌شوند. در آگوست ۲۰۲۲ نیز یک رخداد مشابه باعث افشای داده‌های احراز هویت و رمزهای عبور Hash شده شد.