Aller au contenu

Brèche dans la bdd Plex.


Einsteinium

Messages recommandés

Dear Plex User,
We want you to be aware of an incident involving your Plex account information yesterday. While we believe the actual impact of this incident is limited, we want to ensure you have the right information and tools to keep your account secure.
What happened
Yesterday, we discovered suspicious activity on one of our databases. We immediately began an investigation and it does appear that a third-party was able to access a limited subset of data that includes emails, usernames, and encrypted passwords. Even though all account passwords that could have been accessed were hashed and secured in accordance with best practices, out of an abundance of caution we are requiring all Plex accounts to have their password reset. Rest assured that credit card and other payment data are not stored on our servers at all and were not vulnerable in this incident.
What we're doing
We've already addressed the method that this third-party employed to gain access to the system, and we're doing additional reviews to ensure that the security of all of our systems is further hardened to prevent future incursions. While the account passwords were secured in accordance with best practices, we're requiring all Plex users to reset their password.
What you can do
Long story short, we kindly request that you reset your Plex account password immediately. When doing so, there's a checkbox to "Sign out connected devices after password change." This will additionally sign out all of your devices (including any Plex Media Server you own) and require you to sign back in with your new password. This is a headache, but we recommend doing so for increased security. We have created a support article with step-by-step instructions on how to reset your password here.
We'd also like to remind you that no one at Plex will ever reach out to you to ask for a password or credit card number over email. For further account protection, we also recommend enablingtwo-factor authentication on your Plex account if you haven't already done so.
Lastly, we sincerely apologize to you for any inconvenience this situation may cause. We take pride in our security system and want to assure you that we are doing everything we can to swiftly remedy this incident and prevent future incidents from occurring. We are all too aware that third-parties will continue to attempt to infiltrate IT infrastructures around the world, and rest assured we at Plex will never be complacent in hardening our security and defenses.
For step-by-step instructions on how to reset your password, visit: https://support.plex.tv/articles/account-requires-password-reset
Thank you, 
The Plex Security Team


La grande question c’est pourquoi déconnecté tous les appareils ? Faut il en déduire que les jetons d’accès sont compromis ? Pour ma part ayant un mot de passe fort et la 2FA actif je vais attendre que passe le rush de changement qui met à mal le serveur d’authentification Plex…

Lien vers le commentaire
Partager sur d’autres sites

  • Einsteinium a épinglé et à l’affiche ce sujet

J'ai reçu le mail ce matin, mais j'ai l'impression que les serveurs sont en difficultés (surcroît de connexion temporaire ou bien piratage toujours d'actualité ?). Beaucoup d'erreur 502.

Comme recommandé, j'ai déconnecté tous les comptes (comme toi, je n'ai pas totalement compris la raison), à noter une petite subtilité pour le serveur Plex media, qui nécessite de "réclamer" le serveur en se connectant sur le Plex du NAS directement.

J'ai effectivement mis en place, suite à ça l'authentification à 2 facteurs pour l'occasion, perso je suis passé par Bitwarden et cela fonctionne nickel !

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, firlin a dit :

Tu utilises quoi comme authentification à deux facteurs ?

L'application authy 🙂

Il y a 1 heure, Vinky a dit :

J'ai reçu le mail ce matin, mais j'ai l'impression que les serveurs sont en difficultés (surcroît de connexion temporaire ou bien piratage toujours d'actualité ?).

Justement je me demande si c'est une surcharge ou alors une attaque ddos pour empêché les utilisateurs de reset rapidement... aucune communication de plex.

il y a 19 minutes, .Shad. a dit :

Heu chez Plex l'authentification passe par leur serveurs pour les instances perso ? Je pensais que c'était totalement auto-hébergé ?

Non la partie d'authentification est délégué chez plex qui génère un token d'accès, le restant est bien local.

Ce système est pas plus mal en été délégué et soulage les serveurs des attaques.. mais cela apporte aussi des petits moins... comme ici aujourd'hui.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

Suite aux attaques sur les serveurs de Plex et notamment sur la brique logicielle des log externalisés... j'ai eu quelques soucis que je partage ici.

Lors de votre changement de votre MDP, ne cochez pas la case "Déconnecter les périphériques après la modification du mot de passe", gardez à minima votre serveur et l'administrateur.

Une fois cela fait, retourner sur votre navigateur et déconnectez vous complètement et videz le cash des cookies.

Là, relancer une invite de connexion et suivez la procédure.

Cela vous évitera de galérer comme un sourd pour obtenir l'invite de réclamation du serveur PLEX.

Ps: L'ensemble de cette procédure a été réalisée en étant sur le même réseau que le serveur comme l'avait précisé avant moi Vinky.

Pss : Sous Plex Home, il faudra refaire l'attribution des bibliothèques pour chaque utilisateurs ainsi que leurs règles de gestion.

Psss : Comment as tu fais Vinky pour gérer le 2FA sous Bitwarden ?

Modifié par RAHAN-31
Lien vers le commentaire
Partager sur d’autres sites

Il y a 13 heures, RAHAN-31 a dit :

Lors de votre changement de votre MDP, ne cochez pas la case "Déconnecter les périphériques après la modification du mot de passe", gardez à minima votre serveur et l'administrateur.

On ne c'est pas si les jetons sont compromis ou pas, Plex recommande la déconnection... c'est le seul moyen de purger les jetons d'accès à ton compte.

Supprimé les accès ensuite manuellement, ne supprime pas le jeton fait chez Plex (tant que le client ne se relance pas... il garde accès par exemple)

Maintenant la grosse vague est passé... j'ai eu aucun soucis de reconnections en le fessant hier matin.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai réinitialiser le mdp le lendemain du mail, en déconnectant les périph (dont admin et serveur). J'avais plus d'accès au serveur après la réinitialisation du mdp. J'ai bloqué le nas des "appareils autorisés" pour forcer une réinitialisation. Mais ça l'a déconnecter de Plex, sans me demander une nouvelle autorisation J'ai réinstaller Plex, et redémarré le nas, toujours pareil !
Et le je viens d'essayer de me connecter en local, mais ça ne change rien. Je suis sur l'accueil Plex avec aucune option, et je ne vois plus le nas dans mes médias ...

Une piste ? apparement ça pourrait venir du fichier preference.xml qui n'a pas actualisé la réinitialisation mdp et le jeton

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous @Einsteinium, @RAHAN-31 et @Vinky
 

J'ai une question au sujet de cette phrase

Le 25/08/2022 à 19:17, RAHAN-31 a dit :

Lors de votre changement de votre MDP, ne cochez pas la case "Déconnecter les périphériques après la modification du mot de passe", gardez à minima votre serveur et l'administrateur.

Dans mon cas le plex est mis en docker sur un nas et j'ai pas rien sur mon réseau LAN qui va sur mon plex. Je l'utilise pour partager le films avec ma famille.
Donc si je comprends bien je mais pas la croix et j'applique la suite de la procédure

Le 25/08/2022 à 19:17, RAHAN-31 a dit :

Une fois cela fait, retourner sur votre navigateur et déconnectez vous complètement et videz le cash des cookies.

Là, relancer une invite de connexion et suivez la procédure.

 

Ps: désolé je rentre de vacances et j'ai pas toutes les neurones câblées :)

Lien vers le commentaire
Partager sur d’autres sites

il y a 39 minutes, firlin a dit :

Merci a vous,
Je me suis pris la tête pour rien c'est passer comme une lettre à la poste.

Par contre pour la double authentification, je vais attendre de changer mon nas 🙂

Sauf erreur de ma part, changement de NAS ou pas, cela ne changera rien au degré de protection de ton MDP, puisque la gestion de ce dernier est externalisé sur les serveurs  chez PLEX. C'est donc eux qui gèrent le 2FA et non ton NAS.

Le 28/08/2022 à 01:03, ayam a dit :

Bonjour,

...J'ai réinstaller Plex, et redémarré le nas, toujours pareil !...
 

Mauvais plan je crois. Je t'incite à te rendre sur le forum de Plex / Synology/ FR et d'exposer ta procédure... je suis certain qu'il y aura une bonne âme compétente qui sera te guider dans la gestion de la BDD et sa réaffectation. 

Le 25/08/2022 à 20:24, Vinky a dit :

@RAHAN-31 pour l’utiliser dans Bitwarden, j’ai simplement, dans le champ TOTP (sur le téléphone) pris en photo le qr code, ce qui a activé la génération du code de sécurité automatique. 
 

j’ai donc, sous le login/mdp le code totp qui est généré pour une durée de 25s. 

Merci de ton retour

Le 26/08/2022 à 08:24, Einsteinium a dit :

On ne c'est pas si les jetons sont compromis ou pas, Plex recommande la déconnection... c'est le seul moyen de purger les jetons d'accès à ton compte.

Supprimé les accès ensuite manuellement, ne supprime pas le jeton fait chez Plex (tant que le client ne se relance pas... il garde accès par exemple)

Maintenant la grosse vague est passé... j'ai eu aucun soucis de reconnections en le fessant hier matin.

D'accord et merci de ton éclairage.

Je croyais que lorsque le serveur t'envoyais une invite, cela voulais signifier obligatoirement que les jetons étaient renouvelés et mon avis avait été renforcé par le fait que les bibliothèques étaient a repeuplées !

Lien vers le commentaire
Partager sur d’autres sites

Non justement et c'est cela qui est chiant avec Plex... les jetons expirent bizarrement, suffit de donné un accès à un tier et que tu lui retire derrière, tant que sa session est ouverte et qu'il ne relance pas l'application, il garde l'accès complet avec lecture ou juste la vue de la bibliothèque sans pouvoir lancé un multimédia...

Lien vers le commentaire
Partager sur d’autres sites

Le 01/09/2022 à 13:23, Einsteinium a dit :

Non justement et c'est cela qui est chiant avec Plex... les jetons expirent bizarrement, suffit de donné un accès à un tiers et que tu lui retire derrière, tant que sa session est ouverte et qu'il ne relance pas l'application, il garde l'accès complet avec lecture ou juste la vue de la bibliothèque sans pouvoir lancé un multimédia...

Exact ! Cela m'est déjà arrivé... mais comme un c#n je n'avais pas fait le rapprochement; quoique les autorisations sur le PlexHome et les jetons ne sont pas forcément gérés au même endroit (local/ déporté) ??? Toujours est-il que la gestion à ce niveau et les agents des bibliothèques et consorts sont assez abscons en ce qui me concerne. 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.