Details derzeit noch unklar
Plex Kontodatenbank gehackt: Nutzer sollen neue Passwörter vergeben
Die Macher der Medienverwaltungs-Software Plex gehen davon aus, dass Hacker in den Besitz von Nutzerdaten gekommen sind. In einem Rundschreiben an Kunden teilt das Unternehmen mit, dass laut bisherigem Kenntnisstand Unbefugte Zugriff auf persönliche Daten wie E-Mail-Adressen, Nutzernamen und verschlüsselte Passwörter hatten.
Plex zufolge war nur eine begrenzte Teilmenge der vorhandenen Daten betroffen, über den konkreten Umfang schweigt sich das Unternehmen bislang allerdings noch aus. Immerhin seine keine Kreditkarten oder andere Bezahlinformationen auf den Plex-Servern gespeichert gewesen und somit in die Hände der Angreifer gefallen.
Die erbeuteten Passwörter seien zwar nach aktuellem Standard bestmöglich gesichert gewesen, dennoch habe man sich aus Vorsicht heraus zu der Maßnahme entschlossen, sämtliche Nutzer dazu aufzufordern, schnellstmöglich ein neues Passwort für ihr Plex-Konto zu vergeben.
Plex teilt damit verbunden mit, dass man seinerseits bereits entsprechende Schritte unternommen habe, um die offenbar im Zusammenhang mit einem externen Dienstleister verbundene Schwachstelle zu schließen.
Neues Plex-Passwort vergeben
Plex-Nutzer können die Neuvergabe ihres Passworts über diesen Link einleiten. Gibt man dort die mit seinem Konto verbundene E-Mail-Adresse ein, so sollte man kurz darauf eine E-Mail mit einem Link zur Vergabe eines neuen Kontenpassworts erhalten.
Plex empfiehlt, die in diesem Zusammenhang angebotene Option, sich nach dem Passwort-Wechsel von allen verbundenen Geräten abzumelden, zu nutzen. Anschließend ist es natürlich erforderlich, sich bei allen Geräten, einschließlich persönlichen Plex-Servern, erneut und mit den neuen Zugangsdaten anzumelden.
Im Zusammenhang mit der an alle Nutzer ausgegebenen Aufforderung zum Passwortwechsel kommt es aktuell teils zu Verzögerungen beim Versand des Links zum Passwortvergabe. Plex weist darauf hin, dass man sich bis zu 15 Minuten gedulden solle.
Eine ausführliche Anleitung zur Vergabe eines neuen Plex-Passworts findet ihr hier. Darüber hinaus wird empfohlen, die von Plex angebotene 2-Faktor-Authentifizierung zu verwenden.
Gerade dabei, dauert etwas…und für die 2 Factor Authentication will er eine App haben zum aktivieren? Welche ist das? Nicht die Plex App.
Und erschreckend wie oft Server großer Firmen gehackt werden können.
Für 2FA brauchst du einen Passwortmanager. Also Bitwarden (such auf GitHub auch gerne nach Vaultwarden), Enpass und Co.
Gute Empfehlungen gibt es auch hier:
https://www.kuketz-blog.de/empfehlungsecke/#passwort-manager
2FA Keys kann doch auch der iCloud Schlüsselbund.
So ein Quatsch, es braucht dafür keinen Passwort-Manager, sondern eine App zur Authentifizierung, die Einmal-Codes erzeugt.
Google Authenticator
Google eher nicht
z.B. google authenticator – sollte man generell haben und auf möglichst vielen Seiten nutzen
Autyh von Twillo würde auch gehen. So wie fast jeder Passwort-Manager. Stichwort ist hierbei OTP.
Authy ist top
Ich bin bin Authy zu OTP Auth gewechselt. Bietet viel mehr Optionen und es gibt auch eine Mac Version.
OTP Auth nutze ich auch. Top!
Authenticator App von Microsoft
Für die 2FA App würde ich dir folgende open source und freie Apps empfehlen:
Wichtig ist, dass es eine Export-Funktion gibt, falls du mal die App wechseln willst.
+1
Mmd
Super Sache, dass man das durch Zufall über einen Techblog erfährt und noch nichtmal eine Email von Plex bekommt.
Habe ich bekommen. Der Vorwurf allgemein stimmt also nicht. Sogar im Artikel steht es, dass es ein Rundschreiben dazu gibt. Hast du den auch noch die Email, die du als Kommunikation hinterlegt hast.
guck in Dein Postfach, es wurde heute Morgen per Mail darüber informiert
Letzte Mail von denen vor 5 Tagen. irgendwelche Werbung. Heute noch nichts.
Ich hab ne Mail bekommen
Ich habe auch keine email dazu bekommen. Scheint also nicht an alle gegangen zu sein ;)
Super! Ich nutze Plex nur lokal (Raspberry Pi) ohne irgendeine Online-Funktionalität. Trotzdem gibt es da einen Account Zwang. Ich freue mich schon auf den zusätzlichen Spam *kotzt*. Eine E-Mail zu dem Thema habe ich von Plex auch noch nicht bekommen. Kommt bestimmt in den nächsten 1-2 Tagen.
Um 12:31 kam die E-Mail.
Ich habe für mich vor einiger Zeit angefangen meine E-mail mit der „+ Funktion“ zu erweitern und sperre dann den empfang an diese E-Mail Adresse. z.B. username+plex@gmail.com. Gerade hier ist es sehr zu empfehlen ein PW-Manager zu benutzen.
Kannst du das bitte ausführlicher erklären?
Die Frage ist an S. zum Thema +Email gerichtet
Solltest du wirklich nicht informiert werden und du betroffen bist, hat man Anspruch auf Schadensersatz. Sollte jeder von seinem Recht Gebrauch machen. Sonst ändert sich garnichts. Wie oft irgendwelche Datenbanken geleakt werden ist erschreckend.
Meine Mail war im Spam-Ordner (GMX).
Stimmt doch nicht… um 6:40 wurde mir eine Mail von Plex zugestellt. Und Werbung habe ich von Plex noch nie erhalten.
Die Email von Plex kam bei mir fast 45 Min. bevor das hier geschrieben wurde.
InfoMail war heute Morgen um 6:21uhr da.
Die Verschweigen was, das ist immer bei Firmen die auch ihre Dienste in den USA anbieten Dort wird man immer verklagt
oh, da haben wir ja einen absoluten Insider! Vielen Dank für diese profunde Analyse, die du sicher auch belegen kannst…?
Als würden deutsche Unternehmen mehr als nötig kommunizieren
Ernst gemeinte Frage und aus Interesse gefragt:
Warum sind die Passwörter verschlüsselt gespeichert? Was soll das?
Das Passwort sollte doch mit Pepper und Salt ein Hash bilden, der ja nicht zurück zu rechnen ist.
Mit diesem Hash kann man genau gar nichts machen, wenn man Zugriff auf diesen hat. Nur beim Login mit meinem Passwort ergibt es wieder der Hash, der dann mit dem bereits gespeichertem Hash verglichen wird.
Also warum sind die Passwörter gespeichert? Also scheinbar verschlüsselt, die diese scheinbar entschlüsselt werden können, also somit kein Hash sind.
Vermutlich schreiben die das so, weil die Mehrzahl der Nutzer mit dem Begriff Hash nichts anzufangen wissen. Die Passwörter sind sicherlich gehasht gespeichert.
Alles klar. Danke dir. Hat mich nur sehr irritiert.
Oder bei Hash an Hasch denken ;-)
Ist ein Hash nicht eine Verschlüsselung? Erklär mir mal bitte den Unterschied. Ist ein hash nicht eine One-Way-Verschlüsselung?
Nein, ein Hash ist keine Verschlüsselung. Ein Hash hat eine feste Länge und somit kann es nicht als Verschlüsselung dienen. Beispiel hat md5 eine Länge von 32 Zeichen mit Zeichen von A bis Z und 0 bis 9. Jede Art von Daten, egal welche Größe (kB, MB, TB, PB etc.) ergibt immer nur ein Text mit 32 Zeichen Länge. Somit kann der Informationsgehalt nicht „verschlüsselt“ gespeichert werden. Somit ist es nicht zurück zurechnen. Aber eine Aussage lässt sich immer treffen: beschreibt der Hash die Integrität der Daten. Theoretisch, aber schwer vorstellbar, können unendlich Daten sogar den gleichen Hash ergeben.
Danke für die Info. Den Blickwinkel habe ich nicht gesehen ;)
Ich denke auch die Formulierung ist „leserfreundlich“ gewählt … aber wenn man davon ausgeht, dass die Passwörter nach best practices verarbeitet wurden, warum dann neu vergeben?
Genau. Man würde erklären, dass eben keine Passwörter entwendet wurden, da diese eben nicht „verschlüsselt“ gespeichert werden. Da muss natürlich das marketing die richtigen Worte finden, so dass es jeder versteht. Also etwas irritiert bin ich weiterhin. Ich selbst sehe keine Gefahr, da ich mittels Passwortmanager eh für alles ein dediziertes Passwort habe.
Super, Das ist jetzt schon das zweite mal in ein paar Jahren das Plex sich hacken ließ. Man hätte ja meinen sollen sie lernen es.
Was sollen sie lernen? Jeder ist hackbar.
das heißt Metzgerei und nicht Hackbar!
Ich habe auch keine Mail bekommen. Anscheinend bekommt die ja nicht jeder?! Sind die Daten vielleicht auf verschiedenen Servern gespeichert und nicht alle Daten wurden gehackt sondern nur ein Teil und genau diese haben die Mail von Plex bekommen?
Das könnte so sein.
Ach das Kennwort das ich bei Plex habe kennen die Datenbanken sowieso schon.
Hilft aber nichts wenn man 2FA hat :)
Mit der Sichtweise hast nur noch einen Faktor.
Wer nach einer Alternative zu Plex sucht kann sich sehr gerne mal die Projekte Jellyfin und Emby anschauen.
Eher Jellyfin, welches ein Fork von Emby ist. Der Fork ist passiert, weil Emby closed source wurde.
Roon ist auchsuper und klingt besser
zumindest wenns um Musik geht
Finde ich sehr interessant, ist aber leider auch teuer.
Der Endkunde soll seine Passwörter schützen bzw. regelmäßig ändern….dort wo diese Daten hinterlegt sind, kümmern sich offensichtlich nicht wirklich um deren Schutz…ach ja…das kostet ja dem Unternehmen Geld…da wird dann beim Feststellen, dass irgendjemand sich widerrechtlich den Zugang zu den Daten besorgt hat, ein Rundschreiben verfasst und gut ist es….
Glücklich über die Jellyfin Migration letztes Jahr. Ein tolles Projekt, dazu noch OpenSource.
Bei Plex habe ich zwar noch ein Konto, aber dort ist aktuell sogar die webseite down: https://status.plex.tv
Hoffen wir mal, dass sie die Probleme in den Griff bekommen. Einen Vorwurf kann man da sicher nur bedingt machen. Die Reaktion mit der E-Mail und dem Account Reset ist ja die richtige.
plex.tv ist offline. Passwortänderung nicht möglich.
Stimmt nicht.
Zum Zeitpunkt meines und Schmikuritys Posts schon. Jetzt nicht mehr.
Hab grad mein Konto gelöscht…geht!
Email kam heute um 7:56 Uhr. Gleich Kennwort geändert und unmittelbar danach war alles erledigt.
So muss das laufen.
Dito
Mir egal – ich hab nix zu verbergen ;-)
Ich hoffe, es sind keine „Urlaubsvideos“ auf Deinem Plex-Server. ;)