Trong thông báo, Plex cho biết dữ liệu bị đánh cắp bao gồm địa chỉ email, họ tên người dùng, mật khẩu được băm an toàn và dữ liệu xác thực. “Tác nhân trái phép đã truy cập vào một tập hợp con dữ liệu khách hàng từ một trong các cơ sở dữ liệu của chúng tôi. Mọi mật khẩu tài khoản có thể đã bị truy cập, tuy nhiên chúng tôi đã triển khai cơ chế băm an toàn, đảm bảo bên thứ ba không thể đọc được”, Plex nêu rõ.

Plex không chia sẻ thuật toán băm nào được sử dụng, điều này làm dấy lên khả năng kẻ tấn công có thể đã cố gắng bẻ khóa mật khẩu. Do đó, công ty khuyến cáo người dùng nên thận trọng đặt lại mật khẩu tại https://plex[.]tv/reset và bật tùy chọn “Đăng xuất các thiết bị đã kết nối sau khi thay đổi mật khẩu” khi thực hiện hành động trên.

Thao tác này sẽ đặt lại mật khẩu và đăng xuất mọi kết nối hiện có bằng thông tin đăng nhập của người dùng. Tuy nhiên, nó cũng yêu cầu cần phải đăng nhập lại trên bất kỳ thiết bị nào sử dụng thông tin đăng nhập đó.

Đối với những người sử dụng SSO để đăng nhập vào Plex, công ty khuyến nghị khách hàng nên đăng xuất khỏi tất cả các phiên đang hoạt động bằng cách truy cập https://plex[.]tv/security và nhấp vào nút “Đăng xuất khỏi tất cả các thiết bị”. Một lần nữa, người dùng sẽ cần đăng nhập lại vào các thiết bị bằng thông tin đăng nhập của mình.

Plex cũng khuyến cáo nên bật xác thực hai yếu tố để tăng cường bảo vệ và nhấn mạnh rằng công ty sẽ không bao giờ yêu cầu mật khẩu hoặc thông tin thẻ tín dụng qua email. Plex cho biết không có thông tin thẻ thanh toán nào bị xâm phạm vì thông tin này không được lưu trữ trên máy chủ của họ.

Đây không phải là lần đầu tiên người dùng Plex buộc phải đặt lại mật khẩu do bị vi phạm dữ liệu. Vào tháng 8/2022, Plex đã phải chịu một vụ vi phạm dữ liệu gần như tương tự, trong đó dữ liệu xác thực và mật khẩu băm đã bị rò rỉ trong cuộc tấn công.