Datenabfluss an Unbefugte
Plex-Sicherheitslücke: Passwort ändern und Server aktualisieren
Die Betreiber der Mediencenter-Software Plex haben gerade keinen guten Lauf. Erneut müssen sie einen Teil ihrer Nutzer auf ein Sicherheitsrisiko hinweisen. Offenbar haben unbefugte Dritte Zugriff auf einen begrenzten Teil von Kundendaten erlangt. Betroffen sind E-Mail-Adressen, Benutzernamen und verschlüsselte Passwörter.
In einer an möglicherweise betroffene Nutzer verschickten E-Mail erklärt das Plex-Team, dass die Passwörter in gehashter Form vorlagen und somit nicht im Klartext lesbar sind. Kreditkarten- oder Zahlungsdaten seien keinesfalls betroffen, da diese gar nicht erst bei Plex selbst gespeichert würden.
Die Schwachstelle, die den Zugriff ermöglicht hat, ist dem Plex-Team zufolge inzwischen geschlossen worden. Zudem hätte man alle Systeme einer umfassenden Überprüfung unterzogen, um die Sicherheitsvorkehrungen weiter zu verbessern und künftige Angriffe zu verhindern.
Nutzer sollen Passwort ändern
Plex fordert die angeschriebenen Nutzer auf, ihr Passwort für den Dienst umgehend zu ändern. Beim Zurücksetzen könne optional eingestellt werden, dass alle verbundenen Geräte automatisch abgemeldet werden. Diese zusätzliche Maßnahme ist empfehlenswert, weil dann eventuell unrechtmäßig verbundene Nutzer ebenfalls abgemeldet werden und eine erneute Verbindung mit den alten Anmeldedaten nicht mehr möglich ist.
Darüber hinaus empfiehlt Plex, die Zwei-Faktor-Authentifizierung zu aktivieren, sofern dies noch nicht geschehen ist. Diese Maßnahme soll den Schutz der Konten erhöhen, indem neben dem Passwort ein zusätzlicher Bestätigungsschritt erforderlich wird.
Wenn man einen von außen erreichbaren Medienserver betreibt, sollte der Schutz per Zwei-Faktor-Authentifizierung ohnehin ein fester Standard sein. Ebenso ist es keinesfalls ein Fehler, wenn man das Password für den Zugang regelmäßig ändert. Prüft eure Sicherheitseinstellungen am besten auch dann, wenn ihr aktuell keine E-Mail von Plex erhalten habt.
Plex drängt zur Installation von Sicherheitsupdate
Erst vor einem Monat hat Plex ein wichtiges Sicherheitsupdate für seine Mediacenter-Software bereitgestellt. Mit dem Update auf Version 1.42.1 wurde eine nicht näher beschriebene schwerwiegende Sicherheitslücke behoben.
Ob der aktuelle Vorfall damit in Zusammenhang steht, ist bislang unbekannt. Auffällig ist allerdings, dass die Plex-Entwickler jetzt Internet-Freigaben von einem noch nicht aktualisierten Server aus gesperrt haben. Anwender, die anderen Nutzern Zugriff auf ihre Mediathek gewähren, müssen das letzte Sicherheitsupdate zwingend aktualisieren, um diese Funktion aufrecht zu erhalten.
Finde ich ja schon super. Plex wird immer teurer und noch beschränkter, gleichzeitig gibt es regelmäßig Data Breaches und große Sicherheitslücken. So schaufelt man sich auch sein Grab.
Gibt es nach dem Wegfall der Video Station auf der Synology noch was anderes, habe plex dort installiert, was gibt es als alternative?
Ich nutze auch Plex. Was für Alternativen sind empfehlenswert?
Würde sagen Jellyfin, aber ist eben nicht so Feature Rich.
Na Jellyfin. Völlig Frei von Cloude zwang. Alles bleibt bei dir.
Deine These gefällt mir. „Sicherheit ist nur gegeben wenn es teuer ist.“ Oder was rechtfertigt überhaupt eine Preissteigerung?
Frage mich wie ein Firewall-Anbieter wie Fortinet überhaupt noch überlebt bei den wöchentlichen Sicherheitslücken…
Betrifft das eigentlich nur konten mit server oder auch die konnten die nur auf server zugreifen?
Konto ist Konto, was du damit machst, ist doch erstmal unerheblich.
Wie ist die Sicherheit wenn man sich mit der Option „Apple id“ angemeldet hat? Hab hier keine Möglichkeit das Passwort zu ändern bzw. habe ich es nicht gesehen!
das würde mich auch interessieren.
Bei einer föderierten Anmeldung werden keine Passwörter bei Plex selber gespeichert. Ich würde sagen, einmal von allen Sessions abmelden damit neue Session Token generiert werden, reicht in dem Fall absolut aus.