Plex et ses utilisateurs victimes d'un vol de données

Florian Innocente |

Plex avertit depuis quelques heures certains de ses utilisateurs d'une intrusion dans l'une de ses bases de données. En conséquence de quoi, le service d'hébergement et de streaming demande aux personnes concernées de modifier leur mot de passe.

Le message a été adressé à un nombre indéterminé d'utilisateurs. Plex leur explique qu'une de ses bases de données a été compromise. L'intrus a pu obtenir des données comprenant des e-mail, des noms d'utilisateur et des mots de passe dans leur version chiffrée.

Plex invite ces personnes à réinitialiser leur mot de passe pour en définir un autre puis à se déconnecter partout où leur compte est en activité, pour se reconnecter ensuite avec le nouveau sésame. Il est également conseillé d'utiliser l'authentification à double facteur si ce n'était pas déjà le cas.

Il est rappelé une autre évidence, aucun mail provenant a priori de Plex ne contiendra une demande de saisie d'un mot de passe. Il y a fort à parier que cet incident va donner des idées aux spécialistes du phishing.


avatar onehumanonearth | 

Étant un très grand utilisateur de Plex avec plus de 340 série et 2000 films et partageant a plus de 20 personnes j’avoue être assez refroidis. J’espère que le vol ne concerne que des informations sans grande utilité. Et pas les historiques de connexion, IP, Adresse, numéro de cb…. A voir dans les prochains jours mais pour l’instant rien reçu

Édit finalement j’ai bien reçu l’e-mail, très très déçu de Plex, a voir si je vais migrer sur une autre plateforme. Ça arrive…

avatar Yoshi_1 | 

@onehumanonearth

"très très déçu de Plex"

Parce que tu crois que tout est parfait ? Aller chez un concurrent ne changera rien, il peut y avoir une faille et un vol de données aussi. Et c’est pour tout le monde pareil. Du coup tu vas aller nulle part j’imagine…

avatar onehumanonearth | 

@Yoshi_1

« Même si tous les mots de passe de compte qui auraient pu être consultés ont été hachés et sécurisés conformément aux meilleures pratiques, par excès de prudence, nous exigeons que tous les comptes Plex réinitialisation de leur mot de passe. »

« Soyez assuré que les données de carte de crédit et autres données de paiement ne sont pas du tout stockées sur nos serveurs et n'étaient pas vulnérables dans cet incident »

Ça va au moins ça avait l’air d’être assez sérieux comme gestion de données, l’entreprise est finalement plutôt transparente.

Je resterais sur Plex en attendant de finir de coder mon ptit logiciel ^^

avatar Yoshi_1 | 

@onehumanonearth

Quand tu auras code ton logiciel, et c’est tout à ton honneur, au moins tu restes indépendant, j’ai la certitude qu’il y aura des failles également et qu’une attaque est possible…

Évidemment qu’il faut pas quitter un service qui a eu une petite attaque. Changer le mot de passe est suffisant, et concernant les données de CB, si elles étaient stockées sur leurs serveurs, elles seraient chiffrées aussi.

avatar onehumanonearth | 

@Yoshi_1

A partir du moment où l’entreprise assure protéger les mots de passe, ainsi que les codes CB mais reconnaît qu’il y a eu une intrusion et par prévention informe ses utilisateurs je crois qu’il n’y a plus grand chose à dire… j’ai réagi un peu à chaud, mais c’est assez professionnel. Certains auraient attendu.

avatar Yoshi_1 | 

@onehumanonearth

Une entreprise ne t’assure pas de protéger tes mots de passe. Elle t’assure qu’elle fait tout son possible pour les protéger. Car elle sait pertinemment que c’est impossible qu’il ne peut pas y avoir d’intrusion.

avatar anonx | 

@onehumanonearth

Et tu les as pas volé toi les films et séries? 😂

avatar onehumanonearth | 

@anonx

J’aurai plutôt dit emprunté, sans date de retour ^^

avatar noooty | 

@anonx

M’enfin, comment cela est-il possible, voler des films ?
Mais c’est interdit ça 🤓
🤪

avatar cecile_aelita | 

@anonx

Chuuuuut ! On ne dit pas « volé » on dit « faire une sauvegarde » 😂😂

avatar roccoyop | 

@cecile_aelita

On appelle ça des « films de vacances ».

avatar cecile_aelita | 

@roccoyop

Aussi oui 😅

avatar RonDex | 

@roccoyop

Plus de 2000 films de vacances ça en fait des vacances 🤣

avatar cecile_aelita | 

@RonDex

C’est les vacances de plein de gens différents 😂

avatar Jeckill13 | 

@onehumanonearth

Je préfère largement une entité qui averti immédiatement d’une brèche pour que ses utilisateurs puissent rapidement agir, plutôt qu’une entité comme par exemple Yahoo il y a quelques années qui avait subi deux attaques massives et qui avait camouflé ça…

avatar emmto | 

Mail reçu également.
Par contre le site plex.tv retourne un 521 quand je veux réinitialiser mon mot de passe… :D

avatar lll | 

Ah, moi c'est 522 (Connection timed out) !
C'est pas le moment de bloquer le site... Impossible de changer son mot de passe ou de lever l'accès à différents appareils.

Je me demande quelles données peuvent être volées sur un compte Plex...

avatar ando | 

J’ai recu le mail ce matin

avatar trouaz | 

J'ai changé mon mot de passe tôt ce matin, mais là le site ne répond plus et mes apps ne trouvent plus mon serveur distant (lié au fait que leur site n'est plus accessible j'ai l'impression). C'est pas joyeux tout ça.

avatar Furious Angel | 

Plex servant à 99% pour du vol de contenu, c’est ironique

avatar lll | 

Ah bon ? Dans mon cas, c'est plutôt 99% de contenu acheté...

avatar trouaz | 

Je vous présente "Furious Angel" visiblement c'est lui qui a accédé à la base des utilisateurs de Plex, et ce qu'il vous livre ici sont ses premières conclusions éclairées... ou pas...

avatar marenostrum | 

il a raison en fait. sauf c'est pas du vol mais du partage. moi j'achète un film je te le passe, et toi me passe un film que t'as acheté. comme ça on en a deux pour le prix d'un. mais on pas volé le cinema. on a rien cassé ni tué.

c'est le numérique, le virtuel, qui le permet "ce vol". d'une côté on fait des millions en distribuant du virtuel, sans rien dépenser, de l'autre aussi on perd des clients potentiel, qui en tout cas n'auraient pas acheté le film ou tous les films.

avatar Lestat1886 | 

@marenostrum

Et quand on regarde un film sur un site illégal, ce n’est donc pas du vol vu qu’on a rien cassé alors 😅

avatar marenostrum | 

non, parce que on casse rien. par contre le site fait du profit illégal, en distribuants des choses qui n'ont pas achetés. mais pas les utilisateurs. pour ça d'ailleurs ils te mettent pas en prison. les gens du site oui, eux ils risquent.

avatar Lestat1886 | 

@marenostrum

Quand tu achètes un dvd/bluray, c’est bien écrit qu’il est interdit de partager l’oeuvre sur ce support etc etc. Donc normalement oui tu n’es pas censé le partager sur un serveur avec tes amis en principe.
C’est censé être pour une utilisation personnelle. Tu peux le voir chez toi avec des amis, prêter le dvd (un peu compliqué dans le cas du dematerialise) mais pas organiser une projection payante ou le partager sur Plex ou autre avec un ami (parce que vous pouvez utiliser le meme « exemplaire » en même temps - un peu comme le partage de compte Netflix qui est toléré pour le moment mais interdit selon les conditions d’utilisation)

avatar iPop | 

@Lestat1886

« prêter le dvd « 

Non plus.

avatar Lestat1886 | 

@iPop

J’ai hésité pour celui là mais si c’est a titre gratuit c’est peut-être discutable m. Mais je pense que tu as raison

avatar Freitag | 

@iPop

Selon cette logique il faudrait fermer immédiatement toutes les médiathèques et bibliothèques.

avatar bibi81 | 

Selon cette logique il faudrait fermer immédiatement toutes les médiathèques et bibliothèques.

Non parce que les médiathèques/bibliothèques payent des droits pour pouvoir le faire.

avatar marenostrum | 

j'ai dit que même moralement c'est interdit quand on veut faire du profit. (pour ça que jusqu'à 19 siècle les marchands étaient mal vu. t'étais pas fier d'être un marchand. tu fais du profit sans mérite) dans ce cas seulement c'est du vol. mais pas quand on partage un truc qu'on possède déjà, qu'on a acheté.

ce qui est écrit dessus c'est légaliser le vol de leur côté (imagine si les fabricants des smartphones interdisent la vente ou l'échange entre particuliers. ils vont le faire peut-être. sauf que c'est du matériel qui devient obsolète avec le temps, ils auraient fait sinon), y a qu'à ne pas vendre dans ce cas. en tous cas personne peut te condamner pour du partage.

avatar Lestat1886 | 

@marenostrum

Dans ta logique, je peux mettre un fichier sur un site de téléchargement illegal et je dis que c’est du partage :)
Je ne pense pas que ca tienne devant un juge 👩‍⚖️ 👨‍⚖️

Après il faudrait demander à un avocat. Mais a l’instar d’un smartphone, il n’est pas interdit de revendre un blu-ray par exemple. Pour le dematerialisé, il est par contre interdit en principe de partager son compte personnel.

avatar marenostrum | 

tu peux le mettre en fait. c'est le site le responsable et pas toi. parce que il te permet facilement de partager. normalement lui sans avoir un quelconque intérêt ne le permet pas. pour ça que lui risque plus que toi.

sinon tu l'envoies par clé usb le fichier à partager. tu risques rien. pour ça y a une taxe spéciale (les droits d'auteurs ou je sais pas quoi) en plus de la TVA quand t'achètes un support de ce genre, SSD, HD, etc.

avatar Lestat1886 | 

@marenostrum

Les deux risquent quelque chose, le site pour l’hébergement et la personne pour le partage

avatar marenostrum | 

c'est pas du tout ironique. c'est pas eux qui piratent en tout cas. ils font du commerce seulement, ils proposent un service. comme le médecin qui soigne un prisonnier, assassin, etc. c'est pas lui le criminel. lui il rend service seulement.

avatar Furious Angel | 

@marenostrum

J’ai pas dit que c’était bien fait, j’ai dit que c’était ironique.

Et Plex sait très bien à quoi sert son app…

avatar marenostrum | 

j'ai donné l'exemple du docteur. ils font pareil. ils savent que les gens partagent des films qui n'ont pas achetés mais on peut pas les condamner, parce que ne proposent qu'un service en dehors de tout ça (ils permettent de regarder tes fichiers numériques dans ton TV) . c'est leur métier.

avatar Furious Angel | 

@marenostrum

Ta métaphore est fausse.

L’exemple ca serait plutôt un site qui propose un kit pour débrider des scooters…

avatar marenostrum | 

eux aussi on peut pas les condamner même moralement. parce que c'est toi qui débrides TON scooter. lui ne propose que les outils ou le service.

avatar Furious Angel | 

@marenostrum

Mais justement, ils sont pas tour blancs dans l’affaire. Ils savent ce qu’est leur business. Et je be parle pas sur un plan juridique (chose dont je me fous éperdument)

avatar marenostrum | 

moi non plus je parle que sur le plan Moral seulement. même moralement on peut pas les condamner. si on analyse bien tout le monde fait pareil, d'exploitation. mais quelqu'uns le font légalement, même si moralement sont condamnables, bien pire dans ce cas de figure.

avatar Furious Angel | 

@marenostrum

Hum… un dealer de drogue est condamnable hein. Encore une fois quand on est dans un business douteux on sait ce qu’on fait.

avatar marenostrum | 

même pour ça il est condamnable légalement mais pas moralement. il te force pas acheter lui. (les lois, la plupart, n'ont rien à voir avec la morale. va comprendre pourquoi ce commerce est interdit. ça nous dépasse. y en a qui disent, pour que l'état dispose d'argent, des sommes colossales ni vu ni connu, en dehors de son budget pour financer des activités illégales, comme les islamistes qui agissent dans le monde, etc).

avatar Furious Angel | 

@marenostrum

Non mais là tu pars dans de pseudo débats philosophique pour noyer l’histoire…

avatar marenostrum | 

tout est philosophique en fait. si on veut chercher les causes. sinon la vie continu, ça sert à rien d'en discuter. y en aura des voleurs, des pirates, des vendeurs, etc. on peut rien faire pour l'arrêter tout ça. ça date de la nuit des temps.

avatar huexley | 

Sinon il est possible d'activer le 2FA et de dormir tranquillement sur ses deux oreilles…

avatar Lestat1886 | 

Petite question : si j’utilise la connexion avec Apple, que dois-je faire?

avatar marenostrum | 

il est anonyme la connexion (clé virtuel éphémère ou quelque chose comme ça) quand ça passe par ce biais. tu risques rien je pense.

avatar Lestat1886 | 

@marenostrum

Merci 🙏🏻

avatar Furious Angel | 

@Lestat1886

Si tu veux chercher les données, il faut voir quel mail Apple a créé spécifiquement.

Mais vu que ce mail a été créé spécifiquement, rien ne permet ne le rattacher à des comptes que tu peux avoir ailleurs.

Pages

CONNEXION UTILISATEUR