アメリカのストリーミングサービス・Plexが2022年8月24日に、一部のユーザーに向けてデータが流出したおそれがあるとの通知を送っていたことが分かりました。Plexは、影響を受けたユーザーに対してパスワードを変更するよう求めています。
Plex was compromised, exposing usernames, emails, and passwords – The Verge
https://www.theverge.com/2022/8/24/23319570/plex-security-breach-exposes-usernames-emails-passwords
Plex imposes password reset after hackers steal data for >15 million users | Ars Technica
https://arstechnica.com/information-technology/2022/08/plex-imposes-password-reset-after-hackers-steal-data-for-15-million-users/
Plexは、ユーザーに送ったメールの中で「弊社のデータベースのひとつに不審な動きがあることが判明しました。ただちに調査を開始したところ、第三者が電子メール、ユーザー名、暗号化されたパスワードを含む限られたデータのサブセットにアクセスすることができた可能性があることが分かりました」と通知しました。なお、クレジットカードや決済情報などはサーバーに保管されていないため、流出のおそれはないそうです。
Just got a security notification from @plex, screenshot below (with alt text).
– Timely (discovered yesterday)
– Clearly describes scope (emails, usernames, encrypted passwords – NOT payment information)
– Path forward, explaining reasoning.A great example of incident comms. pic.twitter.com/eWmMwOoQIU
— Murali Suriar (@msuriar)
Plexは、流出したパスワードが同社のベストプラクティスに従ってハッシュ化された状態で保護されていたとしています。Plexの広報担当者によると、暗号化にはパスワードを保護する方式としては最も強力なbcryptが用いられていたとのこと。
パスワードは暗号化された状態でしたが、Plexは念のためパスワードを変更するよう求めています。ただし、原因は不明ですがパスワード変更のためにログインしようとしてもできないという問題も報告されています。この問題は、パスワード変更後にサインアウトしないようにすることで解決できるとこと。
As others have suggested, *not* trying to sign out existing devices seems to work. Go figure. pic.twitter.com/XRkZ58rWBA
— Troy Hunt (@troyhunt)
Plexはメディアサーバーアプリの大手で、記事作成時点で約3000万人の登録ユーザーを擁しています。有料会員には様々なコンテンツが提供されるほか、自分でアップロードしたビデオやオーディオ、写真などをストリーミング再生する機能などもありますが、今回のデータ侵害でプライベートな写真などが流出したかどうかについては言及されていません。
Plexは、不正アクセスの原因を特定しており、別の者が同じセキュリティ上の欠陥を悪用することを防ぐための措置を既に講じているとしています。
この記事のタイトルとURLをコピーする
・関連記事
月額520円のサブスクリプション型ゲームサービス「Plex Arcade」がスタート – GIGAZINE
無料で自分のメールアドレスが流出しているかどうかを教えてくれる「Have I been pwned?」が買い手を募集中 – GIGAZINE
「アカウント情報が流出してもパスワードを変更しない人が大半」という調査結果 – GIGAZINE
無料で自分のパスワードが過去の漏洩データに載った危険なものかどうかをチェックできるサービス「Pwned Passwords」 – GIGAZINE
パスワード流出チェックサイト「Have I Been Pwned?」にMicrosoft Azureから突然高額の料金請求が、いったいなぜ? – GIGAZINE
・関連コンテンツ
