2022年Plex曾发生数据泄露事件,导致用户名、邮箱地址和加密密码外泄。当时公司要求所有用户修改密码以防万一,如今历史似乎正在重演。
该公司再次向用户发送邮件,以几乎完全一致的措辞通报了新的数据泄露事件,称被盗数据类型与上次相同……
2022年声明:
第三方获取了包含邮箱、用户名及加密密码的有限数据子集。
2025年声明:
未经授权的第三方从我们某个数据库中获取了有限的客户数据子集。虽然我们迅速控制了事态,但被窃信息包含邮箱、用户名以及安全哈希加密的密码。
上次公司强制所有用户更改密码。尽管本次发送给用户的邮件中存在矛盾表述,但目前尚未采取强制措施。
邮件开篇建议(而非要求)用户更改密码:
所有可能被获取的账户密码均按最佳实践进行安全哈希加密,第三方无法直接读取。出于充分谨慎考虑,我们建议您立即访问 https://plex.tv/reset 重置密码。
但在邮件后续部分,却以“您必须执行的操作”为标题,将密码修改描述为强制要求:
您必须执行的操作
我们恳请您立即访问 https://plex.tv/reset 重置Plex账户密码。操作时请勾选“密码修改后登出所有设备”选项(建议启用)。此举将为保障您的安全而登出所有设备(包括您拥有的任何Plex媒体服务器),之后您需使用新密码重新登录。我们理解这将给您带来不便,但会为账户提供额外安全保障。
无论是否强制,修改密码都是明智之举。
Plex表示已修复导致系统被入侵的漏洞,目前正在对安全体系开展进一步审查。
