Plex è stato hackerato, esposti i dati utente. Ecco come cambiare password

24 Agosto 2022 83

Plex ha subìto un attacco hacker nelle scorse ore che ha causato il furto di molti dati sensibili, tra cui nomi utente, indirizzi email e password. Fortunatamente almeno le password erano criptate, ma nella sua email di notifica Plex suggerisce comunque di cambiarle, giusto per stare tranquilli. Secondo le ultime statistiche, la piattaforma ha 20 milioni di utenti attivi; non è chiaro quanti di essi siano coinvolti.

Per il momento non ci sono troppi dettagli sull'attacco in sé: la società si limita a dire di aver osservato attività sospette in uno dei suoi database, e che pare che un'entità estranea abbia avuto modo di accedere ai dati che conteneva. Plex dice di aver identificato la falla che ha permesso all'intruso di accedere ai suoi server, di averla già risolta e di aver avviato un processo di revisione di tutti i sistemi per assicurarsi di essere in grado di respingere futuri attacchi.

Un dettaglio piuttosto importante su cui Plex, che recentemente ha distribuito la funzione Discover per orientarsi tra i servizi di streaming, non si è espressa riguardo le librerie multimediali degli utenti, che possono essere sincronizzate via cloud e possono includere contenuti (pensiamo a foto e video) molto privati e compromettenti. Il fatto che le librerie non siano citate nella mail può ispirare cauto ottimismo. Per quanto riguarda i dati di carte di credito e metodi vari di pagamento, Plex precisa che non sono salvati sui suoi server e quindi da questo punto di vista i rischi sono zero.

Secondo le informazioni ufficiali di Plex, per resettare la password del proprio account è sufficiente:

  • Aprire una sessione di navigazione in incognito dal proprio browser internet
  • Aprire la pagina di reset della password
  • Inserire l'indirizzo di posta elettronica usato in fase di registrazione e aspettare l'email con le istruzioni per completare la procedura. Di solito l'attesa è di un paio di minuti al massimo, ma in casi di congestione potrebbero salire un po'
  • Copiare il link incluso nella email e incollarlo nella sessione di navigazione in incognito
  • Scegliere una nuova password

83

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Luca

1) Nella definizione di "riproduce i video", niente, però lo fa con un'interfaccia molto più bella, ti raccoglie le serie TV e i film automaticamente con le copertine corrette, si ricorda di dove hai messo pausa, cosa hai visto, etc.

2) Si'.

i sistemi di sicurezza di questi colossi pare affidata a topo gigio

Sagitt

Io uso 2fa e pass manager, ma solo dove essenziale!! 2fa lo ho anche su watch, il password manager più complesso.

csharpino

Io uso Bitwarden in versione free fa tutto il necessario. unico consiglio utilizza un generatore di codici per le autenticazioni a 2 fattori slegato dal password manager almeno hai una seconda barriera in caso di caduta del primo.

csharpino

Quindi per lo stesso motivo immagino non userai nessun sistema di autenticazione a 2 fattori.... Complimenti!!!
E poi è il controsenso assoluto il tuo discorso, dici che password randomiche (e quindi gestite con password manager) vanno usate solo per servizi essenziali, e fin qui il ragionamento ci può stare, ma poi ti fai mille fantasie mentali su casi ipotetici in cui non hai accesso al PM... Ora a casa mia un servizio giudicato essenziale è anche quello a cui accedi più di frequente o in caso di necessità particolari e quindi ti crea problemi se per qualche motivo non puoi accedervi per temporanea inaccessibilità del PM... Di conseguenza tu stai inutilmente perdendo per strada sicurezza su servizi "minori".
Inizierei a pensare meno a casi ipotetici e più a come avere (quasi) sempre accesso al PM, se poi ci sarà uno 0.1% di situazioni possibili in cui non hai accesso al PM te ne fai una ragione, tanto dubito che in quelle situazioni avrai questa necessità impellente dei servizi minori.

PS: sono ormai 8 anni che gestisco tutto tramite un password manager e tra cloud, smartphone e pc non ho mai avuto un singolo caso di impossibilità ad accedervi, quindi direi che è una cosa più che fattibile.

Oronzo

Wow... Sapresti dirmi dove posso trovare questi utenti che condividono la loro libreria?
Grazie

andrea

rettifico...l'avevo io installata male, tutto ok!!! :)

andrea

Scusami hai dovuto fare qualcosa per fargli riconoscere la RAM? Io ho messo il modulo (crucial) da 8GB, poi ho acceso il nas, fatto tutta l'installazione iniziale, ma mi vede solo 2GB di ram! :-(((

Sagitt

e se il telefono è scarico e devi accendere essenzialmente a quel portale, magari proprio in alternativa al telefono scarico? e se a lavoro hai accesso al pc ma non ad uno smartphone? è un discorso molto ampio, e dipende da usi e abitudini personali certamente, ma secondo il mio pensiero delle password generate da un password manager hanno senso solo per specifici portali essenziali che se hackerati potrebbero generare problemi. per il restante tanto vale un buon set di password da ricordare a memoria, magari con pattern variabile.

Vuoshino

Il mio era solo un pensiero. È vero che nella maggior parte dei casi i vari malintenzionati utilizzano l'incapacitá o l'ignoranza delle vittime per rubare dati sensibili. Quello che mi mette paura è il furto di dati sensibili criptati dai vari server aziendali. Li purtroppo non c è molto da fare per l'utente finale. Visto che te ne intendi. Mi sai suggerire un buon password manager che si integri per bene con windows e android? Thanks

csharpino

Hai le idee abbastanza confuse.. Se domani tutte le password fossero sostituite dalle impronte, un hack su di un server le comprometterebbe esattamente come succede per le password, con la differenza che di impronte ne hai solo 10 e non le puoi cambiare a necessità.
La crittografia con chiave asimmetrica invece sposta il problema dal server al tuo client ma non lo risolve comunque, se ti hakerano a te perdi le chiavi private e sei punto a capo. Una soluzione a tutto non esiste e più una soluzione è sicura più la sua complessità ne rendere difficile l'uso ai meno esperiti, quindi tutto va sempre commisurato al tipo di informazione/bene devi proteggere.

csharpino

Perchè installare il password manager sul telefono e usare occhi e manine per copiare una password dal display del telefono al pc che stai usando è troppo complicato?

Giulk since 71' Reload

Lo utilizzo da anni oramai senza troppi problemi, se poi parliamo di open, le mie carte di credito, i miei account e altro, sono in mano a non so quanti sw closed

Vuoshino

Secondo me devono trovare un'alternativa alle password. Avere dei dati cosi sensibili, anche criptati, non basta più. Devono creare qualche metodo alternativo di accesso, oltre alle varie autenticazioni a due fattori. L'impronta digitale sarebbe ottima ma al momento serve come accesso veloce e non come sostituto vero e proprio. In futuro credo ci saranno sempre più problemi.

EL TUEPO

Mah meglio un password manager

ROOT

Ma come fai a fidarti? Non è open.

ROOT

Sì ma come fai a fidarti? Manco è open :(

Vabbè farò un giro di internet come al solito.

matteventu

No.

andrea

Scusami cosa cambia rispetto all'utilizzo classico di bitwarden? (Io pure lo uso ma semplicemente sul cellulare con l'app e sul pc con gli add on per browser)

Giovanni Toso

Io per sicurezza l'ho cambiata

Giulk since 71' Reload

Io per quello utilizzo Authy

Sgars

Anche io ho il 220+, anche io ho portato la RAM a 10Gb, anche io ho montato Plex. Inoltre, per tornare al tema dell'articolo, ho installato Bitwarden server (sotto Docker) sul NAS, e gestisco da lì le password. Ha l'app per il telefono e gli add-on per tutti i browsers. Quel NAS è uno dei migliori acquisti che abbia mai fatto

miroslav_kowalski

A volte si attacca Google perché è Google. Implementa protocollo open, non ha permessi, non comunica su Internet... Quale sarebbero i problemi di sicurezza e privacy?

Ansem The Seeker Of Lossless

Pensavo di usare authy per quello infatti :/

Sagitt

Rimane una pratica complessa da gestire e richiede comunque componenti installati (immagino sia lastpass). Io ho ad esempio 1password dove salvo di tutto, non solo password, ma se ad esempio dovessi usarlo a lavoro sarebbe un problema…

ROOT

Ehhh lo so, il problema è che io non voglio dipendere dal cellulare per la 2FA. È una cosa che mi manda in bestia. Devo avere la possibilità di collegarmi a vari account dal PC o da postazione extra senza la necessità di avere il telefono sotto mano 24h. Prima o poi mi comprerò una Yubikey sinceramente.

M9quattro

Scusa, ma ce la fa un sd220+ a transcodificare un film 4k (in fhd su ad es. fire stik normale) in tempo reale senza impuntamenti?
Io utilizzo plex con un raspberry pi4 e un ds220j per storage, ma per la transcodifica da 4k a fhd non va sempre fluidamente (come anche per sottotitoli non compatibili). Anche col pc (con i7 7820hk) come server fa fatica a farla al momento. Ho la versione free. Non so se può essere dovuto a questo...

Angelo

Scusate ma chi fa il login con account Google deve cambiare password di quest'ultimo?

massimo mondelli

Proprio oggi ho ricevuto una finta mail per reset della password pur non avendo alcuna registrazione presso quel servizio

Mind_the_gap

E' con le chiavi di casa, che porto ovunque (è più piccola e sottile di una normale chiavetta USB). Da cellulare (che funziona via nfc) puoi impostare che per tot giorni non ti chiede più la chiavetta hw una volta fatta l'autentificazione e ti chiede solo l'impronta. Giusto per specificare, è un'autentificazione aggiuntiva rispetto alla master password, che va comunque messa per accedere

Sagitt

È complesso e ha senso solo per quei servizi fondamentali, per il resto meglio un set di password

Sagitt

È una buona pratica ma difficile da gestire. Se ti dimentichi la chiavetta che fai?

Sagitt

Sì e se stai usando un pc di lavoro? Un pc non tuo abituale? Devi accedere a qualche parte da un punto non comune? È meglio usare un set di password per tipologia, almeno se devi cambiarla.. la cambi solo dove serve

Daniele

Esiste pure jellyfin, completamente gratis, codifica più veloce e qualità visiva migliore, almeno per quel che li ho provati io. Se alla fine i file vengono riprodotti solo sulla tv principale, non c'è nulla di meglio di un oppo 203, o di uno dei suoi cloni. Ma proprio non c'è paragone. Mancherebbero solo le locandine ma chissene...

andrea

Si, video già adocchiato ;)
Ho comprato il 220+ (ero fortemente indeciso) xke ho trovato un ottimo bundle con 2 ironwolf da 4TB a meno di 500€ (poi gli ho preso una crucial da 8GB a 35€ per chiudere il cerchio)

Jolly3

Se l'inglese per te non è un problema, cerca su youtube "

Plex VS Synology Video Station NAS Media Sever in 2021

"
Avrai una comparazione abbastanza accurata dei due sw
Cmq, ottimo acquisto il tuo DS220+ ... complimenti.
Anche li tante possibilità :-)

Davide10

Sono anni che uso Google authenticator e ho Android, account Google da 20 anni, mai un problema.

EL TUEPO

Non è impossibile

Marco

Io uso Microsoft authenticator

Ansem The Seeker Of Lossless

Google authenticator è sconsigliato praticamente ovunque a quanto leggo. Sia per questione privacy che sicurezza. In particolare Google è nota per bloccare account, anche per errore, e non sbloccarli mai piu
Se hai android meglio authy o aegis

Ansem The Seeker Of Lossless

Ecco, te volevo su questo tema!
Stavo pensando a bitwarden ma giustamente mi hanno fatto notare un discreto problema: tutte le uova in un paniere.
Pensavo di ripiegare su aegis visto che è open source, in locale e permette di fare backup criptati

Mind_the_gap

Io uso un passmanager accessibile da tutti i dispositivi con autentificazione mediante chiavetta hardware che ho sempre con me. Mai più indietro

andrea

ottimo, grazie!

Jolly3

Perchè fai ancora domande su Plex ?!? Scappa ... io ti ho avvisato.

1) no, la transcodifica HW funziona solo con PlexPass e solo in downscaling (esempio hai un video 4K e lo vuoi vedere senza scatti e perdita di frames su un device solo FullHD).

Niente upscaling, ci vorrebbe un processore/gpu enormi per farlo in real time

2) si, anch'io ho una 220+ e "videostation" è sicuramente una buona soluzione, gratuita per i possessori Synology e meglio di altre soluzioni. Sicuramente da prendere in considerazione se non si vogliono usare SW "esterni".

Ma Plex, per tutti (e più) i motivi enunciati dagli altri è decisamente di un altro livello.

Ricordati che dovrai installare Plex server (versione Synology, da scaricare dal sito Plex ed installare manualmente sul DS220+) e poi il client da installare sul TV (praticamente tutti i produttori lo hanno nei loro market) o sul tablet/PC/device.

Cerca prima su internet ... ci sono decine di tutorial sul come fare ... ed è più semplice di come sembra.

miroslav_kowalski

si può installare il token su qualsiasi app, io uso Google Authenticator ma puoi usare quello che preferisci

ROOT

Ma il problema persiste? Io mi sono appena registrato perché curioso.

Due palle ogni volta, account esposti ovunque

ROOT

Assolutamente, puoi configurare i codici TOTP su file keepass e su file di Keepass to Android per dire. Molto comodo.

Squak9000

appunto, utilizzi un passmanager...

Kilani

Un password manager è fondamentale ormai.

Recensione Honor 70, fascia media a chi?

Realme GT 2 Explorer Master: la summa dei Realme 2022 | Video

In vacanza con lo Xiaomi 12S Ultra: che smartphone e che foto! Video

Abbiamo provato i nuovi Galaxy Z Fold4 e Z Flip4, ecco le novità! | VIDEO