Plex force la réinitialisation du mot de passe après que des pirates ont volé les données de plus de 15 millions d’utilisateurs

La plateforme de streaming multimédia Plex a déclaré mercredi que des pirates avaient eu accès à une base de données privée et avaient volé les mots de passe, les noms d’utilisateur et les e-mails d’au moins la moitié de ses 30 millions de clients.

« Hier, nous avons détecté une activité suspecte dans l’une de nos bases de données », ont écrit des responsables de l’entreprise dans un e-mail envoyé aux clients. « Nous avons immédiatement lancé une enquête et il semble qu’un tiers ait pu accéder à un sous-ensemble limité de données comprenant des e-mails, des noms d’utilisateur et des mots de passe cryptés. »

L’e-mail indiquait que les mots de passe étaient « hachés et sécurisés conformément aux meilleures pratiques », ce qui signifie que les mots de passe étaient mélangés de manière cryptographique d’une manière qui obligeait les attaquants à allouer des ressources supplémentaires pour déchiffrer les hachages et les remettre dans leur état de texte en clair. Un porte-parole de Plex a déclaré que les mots de passe avaient été hachés à l’aide de bcrypt, l’un des algorithmes les plus puissants pour protéger les mots de passe. bcrypt applique automatiquement ce que l’on appelle le salage et le hachage de chiffrement pour rendre le piratage plus difficile.

Cependant, la société exige que tous les clients réinitialisent leurs mots de passe. Les instructions étape par étape sont par ici. Pour faire bonne mesure, la société conseille de se déconnecter de tous les appareils connectés après avoir changé le mot de passe, puis de se reconnecter.

L’e-mail mentionnait également que les détails de la carte de paiement n’étaient pas stockés dans la base de données consultée et ne sont donc pas affectés par le piratage.

Plusieurs personnes ont signalé avoir eu des difficultés à se connecter à leur compte mercredi matin. Chercheur en sécurité Troy Hunt Se propager Capture d’écran des erreurs qu’il a reçues en essayant de se connecter à son compte.

Deux employés d’Ars ont également déclaré avoir initialement eu des difficultés à accéder à leurs comptes, mais ont finalement réussi. Une troisième personne connectée à Ars a signalé la réinitialisation de son mot de passe et a reçu un e-mail de Plex juste après lui demandant de réinitialiser à nouveau son mot de passe. L’e-mail lui a envoyé une boucle lorsqu’il n’a pas pu se connecter avec le nouveau mot de passe.

Plex est un fournisseur majeur de services de streaming multimédia qui permettent aux utilisateurs de diffuser des films et de l’audio, de jouer à des jeux et d’accéder à leur propre contenu hébergé sur des serveurs multimédias domestiques ou locaux. Un porte-parole de Plex a déclaré que la société comptait plus de 30 millions d’utilisateurs enregistrés et que la majorité d’entre eux avaient été touchés par le piratage.

L’avis publié mercredi indiquait que les responsables de l’entreprise avaient déjà divulgué et réparé les moyens utilisés par les pirates pour accéder à la base de données. Les ingénieurs continuent d’effectuer des examens supplémentaires pour éviter que des violations similaires ne se reproduisent.