Plex: nuovo data breach, consigli per proteggere account e password

Plex, la popolare piattaforma di media streaming che può fungere anche da server domestico, ha confermato un nuovo data breach che ha coinvolto una porzione limitata dei dati degli utenti. Secondo l’avviso ufficiale, un attore non autorizzato ha avuto accesso a informazioni di autenticazione, tra cui indirizzi email, nomi utente e password crittografate, da uno dei database Plex.

Cosa sappiamo sull’attacco a Plex

I portavoce di Plex hanno dichiarato che la piattaforma ha rapidamente contenuto l’incidente, ma ha comunque raccomandato agli utenti di procedere con il reset della password dei propri account, a mero titolo cautelativo.

La società sottolinea che le password eventualmente compromesse erano memorizzato sotto forma di hash, quindi in modo sicuro. Poiché la funzione di hashing delle password non è invertibile, gli aggressori in possesso delle credenziali non possono leggerle direttamente.

Tuttavia, Plex non ha chiarito quale algoritmo di hashing utilizzi, aprendo la possibilità teorica a tentativi di cracking da parte degli aggressori. Sappiamo infatti che è possibile craccare password partendo dall’hash corrispondente, soprattutto se l’algoritmo non è sufficientemente sicuro.

Plex precisa che il data breach appena scoperto non coinvolge dati di pagamento, in quanto la società non memorizza le informazioni delle carte di credito sui propri server.

I consigli per gli utenti

Plex fornisce istruzioni precise per garantire la sicurezza degli account:

• Utenti con login tradizionale (email e password): visitare la pagina per resettare la password. Durante l’operazione, è consigliato abilitare la casella “Sign out connected devices after password change” per disconnettere automaticamente tutti i dispositivi collegati, inclusi eventuali server Plex Media in uso.
• Utenti con SSO (Single Sign-On): Accedere al form di login quindi selezionare “Sign out of all devices” per terminare tutte le sessioni attive. Sarà necessario effettuare nuovamente il login su tutti i dispositivi.
• Abilitare l’autenticazione a due fattori (2FA): Plex consiglia di attivare la 2FA per aggiungere un ulteriore livello di protezione agli account.
• Attenzione alle comunicazioni sospette: la piattaforma ribadisce che non contatterà mai gli utenti via email per chiedere loro password o dati della carta di credito.

Alcuni utenti hanno segnalato che, dopo il reset della password, le librerie multimediali potrebbero apparire vuote. In questi casi, è necessario riconfigurare opportunamente l’accesso al server Plex o ripetere il processo di login su più dispositivi.

Un data breach simile era accorso anche ad agosto 2022 mentre a ferragosto 2025 Plex aveva invitato gli utenti ad applicare tempestivamente una patch correttiva su Plex Media Server.

In un altro articolo abbiamo invece spiegato come installare e configurare Jellyfin come server multimediale senza limiti.