Plex telah mendedahkan satu lagi insiden keselamatan di mana pihak ketiga yang tidak dibenarkan mengakses subset terhad data pelanggan, termasuk e-mel, nama pengguna, dan kata laluan yang di-hash dengan selamat. Ini menandakan pelanggaran utama kedua bagi platform penstriman media dalam tahun-tahun kebelakangan ini, mencetuskan semula perbincangan komuniti tentang keperluan akaun mandatori syarikat untuk pelayan yang dihoskan sendiri.
Jenis Data yang Terjejas:
- Alamat e-mel
- Nama pengguna
- Kata laluan yang dihash dengan selamat (menggunakan bcrypt dengan salt dan pepper)
- Data pengesahan
- Tidak terjejas: Maklumat kad kredit
Komuniti Mempersoalkan Mandat Akaun Plex
Pelanggaran ini telah meningkatkan kritikan terhadap keperluan Plex untuk pengguna mencipta akaun walaupun menjalankan persediaan yang dihoskan sendiri sepenuhnya. Ramai pengguna menyatakan kekecewaan kerana mereka mesti bergantung pada perkhidmatan pihak ketiga untuk sesuatu yang mereka hoskan sepenuhnya pada perkakasan dan rangkaian mereka sendiri. Pergantungan ini mewujudkan risiko keselamatan yang tidak perlu, seperti yang dibuktikan oleh insiden semasa.
Komuniti semakin bersuara mengenai kebimbangan ini, dengan ramai pengguna mempersoalkan mengapa pelayan media tempatan memerlukan sambungan internet dan pengesahan akaun luaran. Sesetengah pengguna melaporkan bahawa apabila sambungan internet mereka terputus, mereka tidak dapat mengakses fail media tempatan mereka sendiri yang disimpan pada pelayan peribadi mereka.
Cabaran Teknikal Semasa Penetapan Semula Kata Laluan
Pengguna yang mengikuti langkah keselamatan yang disyorkan oleh Plex menghadapi halangan teknikal yang tidak dijangka. Syarikat menasihati pengguna untuk menetapkan semula kata laluan dan log keluar dari semua peranti yang disambungkan, tetapi proses ini juga menamatkan tuntutan pemilikan pelayan. Ramai pengguna kehilangan akses kepada pelayan media mereka sendiri dan terpaksa menghabiskan masa tambahan untuk menuntutnya semula melalui proses manual.
Komuniti teknikal telah membangunkan penyelesaian sementara, termasuk menggunakan SSH tunneling untuk menyambung secara tempatan kepada pelayan dan memintas proses tuntutan. Walau bagaimanapun, penyelesaian ini memerlukan pengetahuan teknikal yang tidak dimiliki oleh ramai pengguna biasa, mewujudkan halangan tambahan semasa insiden keselamatan yang sudah menekan.
Tindakan Pengguna yang Diperlukan:
- Pengguna kata laluan: Tetapkan semula kata laluan di https://plex.tv/reset dan dayakan "Sign out connected devices"
- Pengguna SSO: Log keluar dari semua peranti di https://plex.tv/security
- Pemilik pelayan: Tuntut semula pelayan menggunakan token tuntutan baharu dari https://www.plex.tv/claim
Peningkatan Migrasi kepada Alternatif Sumber Terbuka
Pelanggaran ini telah mempercepatkan perbincangan tentang beralih kepada alternatif sumber terbuka seperti Jellyfin , yang tidak memerlukan akaun luaran untuk persediaan yang dihoskan sendiri. Pengguna melaporkan migrasi yang berjaya, walaupun mereka menyatakan beberapa batasan, terutamanya dengan aplikasi TV pintar dan isu kualiti penstriman tertentu pada platform khusus seperti Apple TV .
Sebaik sahaja saya melihat Plex memerlukan akaun walaupun untuk hos sendiri, ia menjadi tidak boleh untuk saya. Perkara seperti ini adalah sebabnya.
Kelebihan utama yang dikekalkan oleh Plex berbanding alternatif adalah ketersediaan aplikasi yang meluas merentasi platform utama dan kedai TV pintar. Walau bagaimanapun, komuniti semakin melihat kemudahan ini sebagai pampasan yang tidak mencukupi untuk risiko keselamatan dan isu pergantungan.
Alternatif Popular Plex Yang Disebut:
- Jellyfin: Sumber terbuka, tidak memerlukan akaun, ketersediaan aplikasi smart TV terhad
- Infuse: Berfungsi dengan perkongsian SMB, bagus untuk pengguna Apple TV
- VLC pada Apple TV: Penstriman terus tanpa middleware
- OSMC (Kodi + Jellyfin): Penyelesaian berkuasa rendah untuk persediaan Raspberry Pi
Kesimpulan
Walaupun Plex telah menangani kelemahan keselamatan segera dan melaksanakan perlindungan tambahan, insiden ini menyerlahkan kebimbangan asas tentang seni bina platform. Keperluan untuk akaun luaran dalam senario yang dihoskan sendiri terus mewujudkan titik pendedahan keselamatan yang boleh dielakkan oleh penyelesaian tempatan semata-mata. Apabila alternatif sumber terbuka semakin matang dan meningkatkan liputan platform mereka, Plex mungkin perlu mempertimbangkan semula pendekatannya untuk mengimbangi kemudahan dengan keselamatan dan autonomi pengguna.