Plex-Datenleck: Millionen Nutzer müssen Passwörter ändern

Sicherheitsalarm bei der beliebten Streaming-Plattform: Nach einem erneuten Hackerangriff sind Nutzerdaten in falsche Hände geraten. Plex zwingt seine über 25 Millionen Anwender zum sofortigen Passwort-Reset.

Das Unternehmen bestätigte am 8. September, dass Cyberkriminelle erfolgreich in eine Datenbank eingedrungen sind und dabei E-Mail-Adressen, Benutzernamen und verschlüsselte Passwörter erbeutet haben. Immerhin: Kreditkartendaten waren nach Unternehmensangaben nicht betroffen. „Wir speichern keine Kreditkartendaten auf unseren Servern, diese Informationen waren daher nicht von dem Vorfall betroffen“, teilte Plex seinen Nutzern mit.

Zweiter Angriff innerhalb von drei Jahren

Déjà-vu für die Plex-Community: Bereits im August 2022 erlebte die Plattform einen nahezu identischen Datendiebstahl. Auch damals erbeuteten Hacker Benutzernamen, E-Mails und gehashte Passwörter. Diese Wiederholung wirft ernste Fragen zur langfristigen Sicherheitsstrategie des Streaming-Dienstes auf.

Die erneute Attacke zeigt, dass Plex weiterhin ein attraktives Ziel für Cyberkriminelle bleibt. Sicherheitsexperte Kev Breen von Immersive warnt vor den Folgen: Die gestohlenen Daten könnten für gezielte Phishing-Kampagnen oder Social Engineering missbraucht werden. Besonders problematisch wird es, wenn Nutzer dasselbe Passwort für mehrere Dienste verwenden.

Anzeige: Apropos Phishing und Social Engineering: Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen. Der kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online?Banking & Co. vor Datendieben schützen – ganz ohne teure Zusatz?Apps. Ideal, wenn nach einem Datenleck plötzlich verdächtige Nachrichten auftauchen. Jetzt das kostenlose Android?Sicherheitspaket sichern

Ungewisse Qualität der Passwort-Verschlüsselung

Ein kritischer Punkt bleibt ungeklärt: Plex schweigt sich über die Stärke des verwendeten Hashing-Algorithmus aus. Während das Unternehmen betont, die Passwörter seien „sicher verschlüsselt“, hängt die tatsächliche Sicherheit vom verwendeten Verfahren ab. Bei schwächeren Algorithmen könnten Angreifer die Passwörter mit genügend Zeit und Rechenleistung entschlüsseln.

Sofortmaßnahmen für betroffene Nutzer

Plex hat bereits reagiert und alle Nutzer zum Passwort-Reset verpflichtet. Die Anwender sollen dabei unbedingt die Option „Verbundene Geräte nach Passwort-Änderung abmelden“ aktivieren. Dadurch werden potenzielle Angreifer aus allen aktiven Sitzungen ausgesperrt.

Besonders wichtig: Nutzer von Single-Sign-On-Diensten wie Google oder Apple müssen manuell alle Geräte in ihren Sicherheitseinstellungen abmelden.

Das Unternehmen drängt außerdem auf die Aktivierung der Zwei-Faktor-Authentifizierung. Diese zusätzliche Sicherheitsebene kann auch bei gestohlenen Passwörtern unbefugten Zugriff verhindern.

Warnung vor Folgebetrug

Nach Datenlecks häufen sich erfahrungsgemäß Phishing-Versuche. Plex warnt ausdrücklich: Das Unternehmen wird niemals per E-Mail nach Passwörtern oder Kreditkarteninformationen fragen. Verdächtige Nachrichten sollten sofort gelöscht werden.

Cybersecurity-Experten raten allen Nutzern, für jeden Online-Dienst ein einzigartiges, starkes Passwort zu verwenden – idealerweise verwaltet durch einen Passwort-Manager. Die Streaming-Infrastruktur biete Angreifern zahlreiche Einfallstore, so Experte Breen.

Plex verspricht indes „zusätzliche Überprüfungen zur Härtung der Sicherheitssysteme“. Ob das ausreicht, um einen dritten Angriff zu verhindern, wird sich zeigen. Die Cybersecurity-Community beobachtet gespannt, welche konkreten Maßnahmen folgen werden.