Plex đã tiết lộ một sự cố bảo mật khác trong đó các bên thứ ba trái phép đã truy cập vào một tập hợp con hạn chế dữ liệu khách hàng, bao gồm email, tên người dùng và mật khẩu được băm bảo mật. Đây là vi phạm lớn thứ hai của nền tảng streaming media trong những năm gần đây, làm bùng phát lại các cuộc thảo luận trong cộng đồng về yêu cầu tài khoản bắt buộc của công ty đối với các máy chủ tự lưu trữ.
Các loại dữ liệu bị xâm phạm:
- Địa chỉ email
- Tên người dùng
- Mật khẩu được băm bảo mật (sử dụng bcrypt với salt và pepper)
- Dữ liệu xác thực
- Không bị xâm phạm: Thông tin thẻ tín dụng
Cộng đồng đặt câu hỏi về yêu cầu tài khoản của Plex
Vi phạm này đã làm gia tăng sự chỉ trích đối với yêu cầu của Plex rằng người dùng phải tạo tài khoản ngay cả khi chạy các thiết lập hoàn toàn tự lưu trữ. Nhiều người dùng bày tỏ sự thất vọng rằng họ phải dựa vào dịch vụ bên thứ ba cho thứ gì đó mà họ lưu trữ hoàn toàn trên phần cứng và mạng của riêng mình. Sự phụ thuộc này tạo ra những rủi ro bảo mật không cần thiết, như đã được chứng minh bởi sự cố hiện tại.
Cộng đồng ngày càng lên tiếng về những lo ngại này, với nhiều người dùng đặt câu hỏi tại sao các máy chủ media cục bộ lại cần kết nối internet và xác minh tài khoản bên ngoài. Một số người dùng báo cáo rằng khi kết nối internet của họ bị ngắt, họ không thể truy cập các tệp media cục bộ của riêng mình được lưu trữ trên máy chủ cá nhân.
Thách thức kỹ thuật trong quá trình đặt lại mật khẩu
Những người dùng đã tuân theo các biện pháp bảo mật được Plex khuyến nghị đã gặp phải những trở ngại kỹ thuật không mong muốn. Công ty khuyên người dùng nên đặt lại mật khẩu và đăng xuất khỏi tất cả các thiết bị được kết nối, nhưng quá trình này cũng làm hết hạn các yêu cầu sở hữu máy chủ. Nhiều người dùng đã mất quyền truy cập vào máy chủ media của riêng họ và phải dành thêm thời gian để lấy lại chúng thông qua các quy trình thủ công.
Cộng đồng kỹ thuật đã phát triển các giải pháp thay thế, bao gồm sử dụng SSH tunneling để kết nối cục bộ với máy chủ và bỏ qua quá trình claiming. Tuy nhiên, những giải pháp này đòi hỏi kiến thức kỹ thuật mà nhiều người dùng thông thường thiếu, tạo ra các rào cản bổ sung trong một sự cố bảo mật vốn đã căng thẳng.
Các hành động bắt buộc của người dùng:
- Người dùng mật khẩu: Đặt lại mật khẩu tại https://plex.tv/reset và bật tùy chọn "Đăng xuất các thiết bị đã kết nối"
- Người dùng SSO: Đăng xuất khỏi tất cả thiết bị tại https://plex.tv/security
- Chủ sở hữu máy chủ: Lấy lại quyền kiểm soát máy chủ bằng cách sử dụng mã thông báo yêu cầu mới từ https://www.plex.tv/claim
Xu hướng chuyển đổi sang các giải pháp thay thế mã nguồn mở ngày càng tăng
Vi phạm này đã đẩy nhanh các cuộc thảo luận về việc chuyển sang các giải pháp thay thế mã nguồn mở như Jellyfin , không yêu cầu tài khoản bên ngoài cho các thiết lập tự lưu trữ. Người dùng báo cáo việc di chuyển thành công, mặc dù họ lưu ý một số hạn chế, đặc biệt với các ứng dụng smart TV và một số vấn đề chất lượng streaming trên các nền tảng cụ thể như Apple TV .
Khi tôi thấy Plex yêu cầu tài khoản ngay cả để tự lưu trữ, đó là điều không thể chấp nhận đối với tôi. Những thứ như thế này chính là lý do.
Lợi thế chính mà Plex duy trì so với các giải pháp thay thế là tính khả dụng rộng rãi của ứng dụng trên các nền tảng chính và cửa hàng smart TV. Tuy nhiên, cộng đồng ngày càng coi sự tiện lợi này là không đủ để bù đắp cho các rủi ro bảo mật và vấn đề phụ thuộc.
Các Lựa Chọn Thay Thế Plex Phổ Biến Được Nhắc Đến:
- Jellyfin: Mã nguồn mở, không cần tài khoản, tính khả dụng ứng dụng smart TV hạn chế
- Infuse: Hoạt động với chia sẻ SMB, tốt cho người dùng Apple TV
- VLC trên Apple TV: Phát trực tiếp không cần phần mềm trung gian
- OSMC (Kodi + Jellyfin): Giải pháp tiêu thụ điện năng thấp cho thiết lập Raspberry Pi
Kết luận
Mặc dù Plex đã giải quyết lỗ hổng bảo mật ngay lập tức và triển khai các biện pháp bảo vệ bổ sung, sự cố này làm nổi bật những lo ngại cơ bản về kiến trúc của nền tảng. Yêu cầu về tài khoản bên ngoài trong các tình huống tự lưu trữ tiếp tục tạo ra các điểm tiếp xúc rủi ro bảo mật mà các giải pháp hoàn toàn cục bộ có thể tránh được. Khi các giải pháp thay thế mã nguồn mở trưởng thành và cải thiện phạm vi nền tảng của chúng, Plex có thể cần xem xét lại cách tiếp cận của mình để cân bằng giữa sự tiện lợi với bảo mật và quyền tự chủ của người dùng.
Tham khảo: Important Notice of Security Incident