ストリーミングサービスのPlexにデータ侵害 ユーザーにパスワードリセットを呼び掛け
日本でもサービスを提供しているPlexが、ユーザーにパスワードをリセットするようメールで通知している。ユーザー名、メールアドレス、パスワードにアクセスされた疑いがあるとしている。
デジタルメディアプレーヤーとストリーミングサービスを展開している米Plexは8月24日(現地時間)、何者かがサーバに侵入し、ユーザーのメール、ユーザー名、暗号化したパスワードを含むデータにアクセスした可能性があると、メールでユーザーに通知した。パスワードは暗号化されてはいるが、至急変更するよう勧めている。
Plexは日本を含む世界で2500万人以上のユーザーにサービスを提供している。
本稿執筆現在、公式ブログなどでの告知はないが、パスワードが侵害されたかどうかを確認するサービス「Have I Been Pwned」を提供しているトロイ・ハント氏がユーザーとして自分が受け取った警告メールをツイートした。
メールによると「昨日、データベースの1つで疑わしいアクティビティが発見された。すぐに調査したところ、何者かが電子メール、ユーザー名、暗号化されたパスワードを含むデータにアクセスできた可能性がある」という。クレジットカードなどの支払い関連データには影響がないとしている。
悪用された脆弱性などについての説明はないが、「アクセスに悪用された方法については既に対処しており、すべてのシステムをさらに強化するためのレビューを実施している」。
ハント氏は、こうしたサービスを利用しない以外にデータ侵害に巻き込まれない方法はないが、米AgileBitsのパスワード管理アプリ「1Password」によるランダムなパスワードと2要素認証を使っているので、リスクではなく単に不便なだけで済んだとしている。
関連記事
- Cloudflare、Twilioと同じフィッシング攻撃を受けるも完全回避 ハードキーが鍵
CDN大手のCloudflareは、大規模なフィッシング攻撃を受けたが、侵入を防いだと発表した。Twilioが報告したものと同じ攻撃とみられる。攻撃を受けた従業員の中で3人がだまされたが、ログインにハードキーによる認証を義務付けていたため侵入を回避できた。 - クラウド電話APIサービスのTwilioにフィッシング攻撃で顧客データ漏えい
日本の企業も採用するAPIサービスのTwilioが、一部の顧客アカウント情報への不正アクセスがあったと発表した。従業員へのフィッシング攻撃が原因。攻撃者はまだ特定できていないが、「高度に洗練された組織」とみている。 - Facebookから流出した5億超データに自分の携帯番号があるか検索可能に HIBPが公開
Facebookから流出した5.33億人の携帯番号を含む個人データが公開されていた問題を受け、非営利の個人情報漏えいチェックサイト「Have I Been Pwned」が携帯番号を入力すると流出したかどうか分かる機能を追加した。 - 米Plexから情報流出、犯人が身代金を要求
何者かがPlexをハッキングしてユーザーの個人情報を盗み出し、期限までにビットコインで身代金を支払わなければその情報を公開すると脅迫した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.