Datenabfluss an Unbefugte
Plex-Sicherheitslücke: Passwort ändern und Server aktualisieren
Die Betreiber der Mediencenter-Software Plex haben gerade keinen guten Lauf. Erneut müssen sie einen Teil ihrer Nutzer auf ein Sicherheitsrisiko hinweisen. Offenbar haben unbefugte Dritte Zugriff auf einen begrenzten Teil von Kundendaten erlangt. Betroffen sind E-Mail-Adressen, Benutzernamen und verschlüsselte Passwörter.
In einer an möglicherweise betroffene Nutzer verschickten E-Mail erklärt das Plex-Team, dass die Passwörter in gehashter Form vorlagen und somit nicht im Klartext lesbar sind. Kreditkarten- oder Zahlungsdaten seien keinesfalls betroffen, da diese gar nicht erst bei Plex selbst gespeichert würden.
Die Schwachstelle, die den Zugriff ermöglicht hat, ist dem Plex-Team zufolge inzwischen geschlossen worden. Zudem hätte man alle Systeme einer umfassenden Überprüfung unterzogen, um die Sicherheitsvorkehrungen weiter zu verbessern und künftige Angriffe zu verhindern.
Nutzer sollen Passwort ändern
Plex fordert die angeschriebenen Nutzer auf, ihr Passwort für den Dienst umgehend zu ändern. Beim Zurücksetzen könne optional eingestellt werden, dass alle verbundenen Geräte automatisch abgemeldet werden. Diese zusätzliche Maßnahme ist empfehlenswert, weil dann eventuell unrechtmäßig verbundene Nutzer ebenfalls abgemeldet werden und eine erneute Verbindung mit den alten Anmeldedaten nicht mehr möglich ist.
Darüber hinaus empfiehlt Plex, die Zwei-Faktor-Authentifizierung zu aktivieren, sofern dies noch nicht geschehen ist. Diese Maßnahme soll den Schutz der Konten erhöhen, indem neben dem Passwort ein zusätzlicher Bestätigungsschritt erforderlich wird.
Wenn man einen von außen erreichbaren Medienserver betreibt, sollte der Schutz per Zwei-Faktor-Authentifizierung ohnehin ein fester Standard sein. Ebenso ist es keinesfalls ein Fehler, wenn man das Password für den Zugang regelmäßig ändert. Prüft eure Sicherheitseinstellungen am besten auch dann, wenn ihr aktuell keine E-Mail von Plex erhalten habt.
Plex drängt zur Installation von Sicherheitsupdate
Erst vor einem Monat hat Plex ein wichtiges Sicherheitsupdate für seine Mediacenter-Software bereitgestellt. Mit dem Update auf Version 1.42.1 wurde eine nicht näher beschriebene schwerwiegende Sicherheitslücke behoben.
Ob der aktuelle Vorfall damit in Zusammenhang steht, ist bislang unbekannt. Auffällig ist allerdings, dass die Plex-Entwickler jetzt Internet-Freigaben von einem noch nicht aktualisierten Server aus gesperrt haben. Anwender, die anderen Nutzern Zugriff auf ihre Mediathek gewähren, müssen das letzte Sicherheitsupdate zwingend aktualisieren, um diese Funktion aufrecht zu erhalten.
Hey, guten Morgen, ihr Fleißigen.
Ist ein „potenzielles Sicherheitsrisiko“ nicht ein „weißer Schimmel“? Es liegt doch im Wort Risiko bereits das Potenzielle, wie seht Ihr das?
Herzliche Grüße,
Pete
Finde ich ja schon super. Plex wird immer teurer und noch beschränkter, gleichzeitig gibt es regelmäßig Data Breaches und große Sicherheitslücken. So schaufelt man sich auch sein Grab.
Gibt es nach dem Wegfall der Video Station auf der Synology noch was anderes, habe plex dort installiert, was gibt es als alternative?
Ich nutze auch Plex. Was für Alternativen sind empfehlenswert?
Würde sagen Jellyfin, aber ist eben nicht so Feature Rich.
Na Jellyfin. Völlig Frei von Cloude zwang. Alles bleibt bei dir.
gibt noch emby, hat aber auch seine nachteile – werbung fürs pro abo muss man immer mal wieder wegklicken (und bis dahin paar sekunden warten)
pest oder cholera halt
Das ihr immer alle direkt wechseln wollt finde ich spannend. Aktiviert 2FA und sowas kann euch bei jedem Anbieter egal sein. Am besten sogar noch Passkeys…
Deine These gefällt mir. „Sicherheit ist nur gegeben wenn es teuer ist.“ Oder was rechtfertigt überhaupt eine Preissteigerung?
Frage mich wie ein Firewall-Anbieter wie Fortinet überhaupt noch überlebt bei den wöchentlichen Sicherheitslücken…
Geiles Beispiel :)))) das kann ich nur so unterstreichen
Wüsste nicht, dass ich das behauptet hätte.
Betrifft das eigentlich nur konten mit server oder auch die konnten die nur auf server zugreifen?
Konto ist Konto, was du damit machst, ist doch erstmal unerheblich.
Wie ist die Sicherheit wenn man sich mit der Option „Apple id“ angemeldet hat? Hab hier keine Möglichkeit das Passwort zu ändern bzw. habe ich es nicht gesehen!
das würde mich auch interessieren.
Bei einer föderierten Anmeldung werden keine Passwörter bei Plex selber gespeichert. Ich würde sagen, einmal von allen Sessions abmelden damit neue Session Token generiert werden, reicht in dem Fall absolut aus.
Ein guter Grund dort endlich alle Konten zu löschen
Ciao ciao
Genau das hab ich vorhin getan :-)
Ich hab allerdings vor zwei Monaten den Wechsel zu Jellyfin vollzogen und auf dem NAS war Plex sowieso schon aus. Der Vorfall (gepaart mit den eigentlichen Wechsel-Gründen „regelmäßiger Anmeldezwang nervt“, „immer mehr Paywall-Features“, „immer mehr Kram, den ich nicht brauche“) war jetzt eigentlich nur noch der Auslöser, mich final zu trennen. Jellyfin kann zwar weniger als Plex – mir genügt’s aber…
Ich denke es reicht aus, die 2 Faktor Authentifizierung zu aktivieren, solange keine Anmeldung an unbekannten Geräten erfolgt ist (worüber man ja per Email informiert wird). Oder übersehe ich da etwas, dass eine Passwort Änderung notwendig macht?