Piratage Plex : des comptes et des mots de passe compromis
Attention si vous possédez un compte Plex. En exploitant une faille de sécurité, des pirates ont accédé à des personnelles. La plateforme de streaming recommande à tous ses utilisateurs de changer de mot de passe.
Plex, le puissant lecteur multimédia et service de streaming qui compte quelque 20 millions d'utilisateurs dans le monde, a envoyé un courriel plutôt inquiétant à ses abonnés. La firme y indique avoir découvert hier une "activité suspecte" au sein de l'une de ses bases de données. Par précaution, elle demande à ses utilisateurs de vérifier leur compte et de changer leur mot de passe. Pour rappel, Plex est une plateforme accessible sur ordinateur, sur mobile – via une application – mais aussi sur TV connecté, qui permet de diffuser divers contenus – vidéo, audio, photo – partagés par ses membres et de regarder des contenus en streaming pour les abonnés ayant un compte payant, et même des flux télé en direct gratuitement.
Plex : des mots de passe piratés
Il s'avère qu'une "personne extérieure à l'entreprise" a pu s'infiltrer via une faille de sécurité. Le pirate a été en mesure d'accéder à "un sous-ensemble limité de données" qui y étaient stockées, dont les noms des utilisateurs, les e-mails et surtout les mots de passe – Plex a toutefois assuré que les mots de passe étaient "hachés et sécurisés conformément aux meilleures pratiques," et ne devraient donc pas pouvoir être utilisés. De plus, les informations bancaires, comme les numéros des cartes de crédit, étaient stockées sur un autre serveur et n'ont donc pas été compromises. L'intrus n'a pas été identifié, mais la firme a déclaré que la faille utilisée a depuis été traitée, et qu'elle en profitait pour réaliser des examens supplémentaires afin de "s'assurer que la sécurité de tous nos systèmes est encore renforcée pour empêcher futures incursions".
Par mesure de précaution, tous les utilisateurs – surtout ceux possédant un Plex Pass – sont invités à se déconnecter de tous les appareils utilisés et à changer leur mot de passe. Il est aussi vivement recommandé d'activer la double authentification et d'utiliser un générateur de mots de passe. Enfin, elle rappelle que la société ne demandera jamais les identifiants, mots de passe ou un numéro de carte de crédit à un utilisateur – le vol de données permettant aux hackers de réaliser ensuite une campagne de phishing afin d'obtenir des coordonnées bancaires.