ストリーミングサービスのPlexでセキュリティ侵害が発生しメールアドレスやパスワードが流出
アメリカのストリーミングサービス・Plexが2022年8月24日に、一部のユーザーに向けてデータが流出したおそれがあるとの通知を送っていたことが分かりました。Plexは、影響を受けたユーザーに対してパスワードを変更するよう求めています。
Plex was compromised, exposing usernames, emails, and passwords - The Verge
Plex imposes password reset after hackers steal data for >15 million users | Ars Technica
https://arstechnica.com/information-technology/2022/08/plex-imposes-password-reset-after-hackers-steal-data-for-15-million-users/
Plexは、ユーザーに送ったメールの中で「弊社のデータベースのひとつに不審な動きがあることが判明しました。ただちに調査を開始したところ、第三者が電子メール、ユーザー名、暗号化されたパスワードを含む限られたデータのサブセットにアクセスすることができた可能性があることが分かりました」と通知しました。なお、クレジットカードや決済情報などはサーバーに保管されていないため、流出のおそれはないそうです。
Just got a security notification from @plex, screenshot below (with alt text).
- Timely (discovered yesterday)
- Clearly describes scope (emails, usernames, encrypted passwords - NOT payment information)
- Path forward, explaining reasoning.
A great example of incident comms. pic.twitter.com/eWmMwOoQIU— Murali Suriar (@msuriar) August 24, 2022
Plexは、流出したパスワードが同社のベストプラクティスに従ってハッシュ化された状態で保護されていたとしています。Plexの広報担当者によると、暗号化にはパスワードを保護する方式としては最も強力なbcryptが用いられていたとのこと。
パスワードは暗号化された状態でしたが、Plexは念のためパスワードを変更するよう求めています。ただし、原因は不明ですがパスワード変更のためにログインしようとしてもできないという問題も報告されています。この問題は、パスワード変更後にサインアウトしないようにすることで解決できるとこと。
As others have suggested, *not* trying to sign out existing devices seems to work. Go figure. pic.twitter.com/XRkZ58rWBA— Troy Hunt (@troyhunt) August 24, 2022
Plexはメディアサーバーアプリの大手で、記事作成時点で約3000万人の登録ユーザーを擁しています。有料会員には様々なコンテンツが提供されるほか、自分でアップロードしたビデオやオーディオ、写真などをストリーミング再生する機能などもありますが、今回のデータ侵害でプライベートな写真などが流出したかどうかについては言及されていません。
Plexは、不正アクセスの原因を特定しており、別の者が同じセキュリティ上の欠陥を悪用することを防ぐための措置を既に講じているとしています。