流媒体平台Plex 24日主动发信通知客户,某数据库发现可疑活动,调查发现信件、用户名及加密密码等“有限”资料子集遭“第三方”窃取,公司专用数据库遭入侵,黑客带走超过1,500万名用户(占3,000万名用户一半多)资料。
但Plex似乎胸有成竹、老成持重。因这些外泄密码早照最佳实践hash散列处理保护。换言之,密码已被某种黑客必须花费极大力气并投入额外资源,才有办法将散列值还原成明文的方式保护。Plex发言人透露,密码使用密码散列函数bcrypt散列处理,bcrypt可说目前保护密码的最强算法,会自动套用“加密加盐和撒胡椒”(cryptographic salting and peppering)增加破解难度。
尽管有事先加密保护,资料外泄事件发生后,Plex仍要求所有客户重设密码,并在官网支持文章页面刊登重设密码的Steb-by-step步骤式教学文。
许多用户回应,24日早上无法登录自己账号,如有人尝试登录账号,画面却出现“内部服务器错误。我们这边出问题”的错误消息。也有人回应一开始无法登录,但最终成功登录。更有人指出陷入重设密码→使用新密码无法登录→又再被要求重设密码的无限轮回。
Plex 24日给客户的信指出,已发现黑客访问数据库的手法,并随即修补问题。接下来工程师会持续查看,以避免类似入侵与外泄事件再发生。
(首图来源:Plex)