Το Plex Forums έγινε Hacked – Εκτέθηκαν προσωπικά μηνύματα
Οι εγγραμμένοι χρήστες των Plex Forums έχουν λάβει ένα email από την επιχείρηση, το οποίο τους ενημερώνει σχετικά με την παραβίαση κατά την οποία προσωπικά δεδομένα που σχετίζονταν με τα accounts τους έχουν εκτεθεί.
Το επίσημο μήνυμα καθοδηγεί τους χρήστες να αλλάξουν τους κωδικούς πρόσβασής τους, ακόμα κι αν τα έχουν αποθηκεύσει σε κρυπτογραφημένη μορφή (hashed and salted) και κατά συνέπεια υπάρχει μικρή πιθανότητα να ανακτηθεί το κείμενο.
Αλλάξτε τον κωδικό σας στο Plex
«Δυστυχώς, ενημερωθήκαμε σήμερα το απόγευμα ότι ο server που φιλοξενεί τα φόρουμ μας και τα blogs εκτέθηκαν σε κίνδυνο. Η έρευνα συνεχίζεται, και από όσο γνωρίζουμε ο επιτιθέμενος απέκτησε πρόσβαση μόνο σε αυτά τα κομμάτια των συστημάτων μας,» το μήνυμά τους αναφέρει.
Οι πελάτες που πραγματοποίησαν πληρωμές διαβεβαιώθηκαν πως οι πληροφορίες σχετικά με τις κάρτες τους είναι ασφαλείς και δεν εκτέθηκαν επειδή αυτός ο τύπος στοιχείων δεν αποθηκεύεται στους Plex servers.
Οι χρήστες των φόρουμ επηρεάστηκαν περισσότερο από όλους, καθώς οι διευθύνσεις IP τους, τα ιδιωτικά μηνύματά τους και οι διευθύνσεις email τους εκτέθηκαν. Ένας αντιπρόσωπος της επιχείρησης δήλωσε πως η έρευνα βρίσκεται σε εξέλιξη, αλλά η ευπάθεια που χρησιμοποιήθηκε αφορούσε πιθανότατα PHP/ IPB.
Τέλος, συμβουλεύουν όλους τους χρήστες να επιλέγουν πάντα ισχυρούς κωδικούς πρόσβασης, να μη τον μοιράζονται ποτέ και με κανένα τρόπο με τρίτα πρόσωπα, και φυσικά να μην χρησιμοποιούν τον ίδιο κωδικό σε διαφορετικές σελίδες / λογαριασμούς.
Ο χάκερ ζητά λύτρα
Ένα post στο Reddit, σύμφωνα με τους ισχυρισμούς του δράστη, υποστήριξε ότι το Plex έπρεπε μέχρι αύριο να του πληρώσει 9.5 bitcoins (αυτήν την περίοδο $2.427/ €2,190) αλλιώς τα στοιχεία των χρηστών θα διέρρεαν σε public domain. Εάν τα λύτρα δεν πληρώνονταν μέχρι την 3η Ιουλίου, ο επιτιθέμενος είπε ότι η αμοιβή θα αυξανόταν σε 14.5 bitcoins (αυτήν την περίοδο $3.705/ €3,340).
Τέλος ανέφερε πως δεν έχει σημασία ποιός θα πληρώσει τα λύτρα, και ακόμα και οι ίδιοι οι χρήστες έχουν τη δυνατότητα να πληρώσουν με αντάλλαγμα την αφαίρεση των στοιχείων τους από τη βάση δεδομένων που θα διαρρεύσει.
