Les forums de Plex piratés : des données personnelles dérobées

Ce matin au réveil, certains ont reçu un « important avis de sécurité » de la part de Plex. Il ne s'agit pas d'un phishing, mais bien d'une alerte car les serveurs du forum et du blog de Plex ont été piratés durant la nuit, ce qui a poussé Plex à les débrancher en attendant d'en savoir plus.

La société ne donne que peu de détails sur cette attaque, mais elle se veut tout de même rassurante sur un point : « les cartes de crédit ainsi que les autres données de paiement [NDLR : pour les abonnements Plex Pass] ne sont pas stockées sur nos serveurs », il ne devrait donc pas y avoir de risque de ce côté-là. Néanmoins, le ou les pirates ont pu accéder à de nombreuses informations personnelles des utilisateurs du forum, dont les adresses IP, les messages privés, les emails ainsi que les mots de passe chiffrés (salés et hachés).

Malgré cette sécurité, Plex demande à ses utilisateurs de changer leur mot de passe « par mesure de précaution ». Lors d'une nouvelle connexion, il faudra donc obligatoirement en saisir un nouveau, mais on regrette tout de même qu'aucune confirmation, par email par exemple, ne soit exigée pour cette étape.

Plex ajoute qu'il faut éviter de réutiliser le même mot de passe sur plusieurs sites, en choisir un qui soit suffisamment long et fort (mélange de lettres, de chiffres, de caractères spéciaux, etc.) et, pourquoi pas, utiliser un gestionnaire de mots de passe, même si la sécurité de ces derniers peut aussi être compromise. Une recommandation qui est finalement valable tout le temps, quel que soit le service.

La société ajoute enfin que les investigations sont toujours en cours afin de faire le point précis sur l'origine du piratage et l'étendue des dégâts. En attendant, le forum est toujours hors ligne, mais le blog vient de revenir.

Our forum machine has apparently been compromised. We’ve brought it down so we can investigate; we’ll have more news as soon as we know more

— Plex (@plexapp) July 1, 2015