Getty Images
La plate-forme multimédia de streaming Plex a déclaré mercredi qu’elle avait été piratée par des intrus qui avaient réussi à accéder à une base de données propriétaire et à s’enfuir avec des données de mot de passe, des noms d’utilisateur et des e-mails appartenant à au moins la moitié de ses 30 millions de clients.
“Hier, nous avons découvert une activité suspecte sur l’une de nos bases de données”, ont écrit des responsables de l’entreprise dans un e-mail envoyé aux clients. “Nous avons immédiatement ouvert une enquête et il semble qu’un tiers ait pu accéder à un sous-ensemble limité de données comprenant des e-mails, des noms d’utilisateur et des mots de passe cryptés.”
L’e-mail indiquait que les mots de passe étaient “hachés et sécurisés conformément aux meilleures pratiques”, ce qui signifie que les mots de passe étaient cryptés de manière cryptographique d’une manière qui oblige les attaquants à consacrer des ressources supplémentaires pour déchiffrer les hachages et les ramener à leur état en clair. Un porte-parole de Plex a déclaré que les mots de passe étaient hachés à l’aide de bcrypt, l’un des algorithmes les plus puissants pour protéger les mots de passe. bcrypt applique automatiquement ce que l’on appelle le salage et le poivre cryptographiques pour rendre le cracking plus difficile.
La société demande néanmoins à tous les clients de réinitialiser leurs mots de passe. Les instructions étape par étape sont ici. Pour faire bonne mesure, la société conseille de se déconnecter de tous les appareils connectés après le changement de mot de passe, puis de se reconnecter.
Publicité
L’e-mail indiquait également qu’aucun détail de carte de paiement n’était stocké dans la base de données consultée et n’était donc pas affecté par la violation.
Plusieurs personnes ont signalé avoir eu des difficultés à se connecter à leurs comptes mercredi matin. Le chercheur en sécurité Troy Hunt a publié une capture d’écran des erreurs qu’il a reçues en essayant de se connecter à son compte.
Deux membres du personnel d’Ars ont déclaré qu’eux aussi avaient initialement eu du mal à accéder à leurs comptes, mais qu’ils avaient finalement réussi. Une troisième personne connectée à Ars a déclaré avoir réinitialisé son mot de passe et reçu un e-mail de Plex immédiatement après lui demandant de réinitialiser à nouveau son mot de passe. L’e-mail lui a envoyé une boucle lorsqu’il n’a pas pu se connecter avec le nouveau mot de passe.
Plex est un fournisseur majeur de services de streaming multimédia qui permettent aux utilisateurs de diffuser des films et de l’audio, de jouer à des jeux et d’accéder à leur propre contenu hébergé sur des serveurs multimédias domestiques ou sur site. Le porte-parole de Plex a déclaré que la société comptait plus de 30 millions d’utilisateurs enregistrés et que la majorité d’entre eux étaient touchés par la violation.
La notification de mercredi indique que les responsables de l’entreprise ont déjà découvert les moyens utilisés par les intrus pour accéder à la base de données et l’ont corrigé. Les ingénieurs continuent d’effectuer des examens supplémentaires pour éviter que des violations similaires ne se reproduisent.