Mauvaise nouvelle pour les utilisateurs de Plex : l’entreprise a été victime d’une faille de sécurité. Dans un mail envoyé récemment, elle explique que « l'impact réel de cet incident est limité », mais incite tout de même les utilisateurs à changer leur mot de passe.
Plex précise dans son communiqué qu’un « tiers non autorisé » a accédé à « un sous-ensemble limité de données clients provenant de l'une de [ses] bases de données ». Elle affirme avoir rapidement maîtrisé l'incident. Les informations compromises comportent des adresses mail, des noms d'utilisateur et des mots de passe hachés de manière sécurisée. Les codes de carte bancaire ne sont pas stockés sur ses serveurs et ne sont pas concernés.
Si les mots de passe ne sont donc pas directement lisibles par l’acteur malveillant, Plex incite tout de même à le changer. Vous pouvez le faire depuis votre compte ou depuis ce lien. L’entreprise conseille de déconnecter tous ses appareils lors de la démarche, ce qui impliquera de se reconnecter par la suite, mais qui reste plus sûr. Rappelons qu’il est possible d’activer la double authentification.
Il s’agit de la deuxième fuite en quelques semaines chez Plex. Au mois d’août, le service avait prévenu les utilisateurs de serveurs maison qu’un correctif devrait être appliqué d’urgence suite à la découverte d’une faille de sécurité. Le problème concernait les versions 1.41.7.x à 1.42.0.x du Media Server.
