Plex ได้เปิดเผยเหตุการณ์ด้านความปลอดภัยอีกครั้ง ซึ่งบุคคลที่สามที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลลูกค้าบางส่วน รวมถึงอีเมล ชื่อผู้ใช้ และรหัสผ่านที่เข้ารหัสแบบปลอดภัย นี่เป็นการละเมิดครั้งใหญ่ครั้งที่สองสำหรับแพลตฟอร์มสตรีมมิ่งสื่อในช่วงไม่กี่ปีที่ผ่านมา ทำให้เกิดการอภิปรายในชุมชนอีกครั้งเกี่ยวกับข้อกำหนดบัญชีผู้ใช้บังคับของบริษัทสำหรับเซิร์ฟเวอร์ที่โฮสต์เอง
ประเภทข้อมูลที่ถูกบุกรุก:
- ที่อยู่อีเมล
- ชื่อผู้ใช้
- รหัสผ่านที่เข้ารหัสอย่างปลอดภัย (ใช้ bcrypt พร้อม salt และ pepper)
- ข้อมูลการยืนยันตัวตน
- ไม่ถูกบุกรุก: ข้อมูลบัตรเครดิต
ชุมชนตั้งคำถามเกี่ยวกับข้อกำหนดบัญชีของ Plex
การละเมิดครั้งนี้ทำให้การวิพากษ์วิจารณ์เกี่ยวกับข้อกำหนดของ Plex ที่ผู้ใช้ต้องสร้างบัญชีแม้ในการใช้งานที่โฮสต์เองทั้งหมดรุนแรงขึ้น ผู้ใช้หลายคนแสดงความไม่พอใจที่ต้องพึ่งพาบริการบุคคลที่สามสำหรับสิ่งที่พวกเขาโฮสต์อย่างสมบูรณ์บนฮาร์ดแวร์และเครือข่ายของตนเอง การพึ่งพานี้สร้างความเสี่ยงด้านความปลอดภัยที่ไม่จำเป็น ดังที่เห็นจากเหตุการณ์ปัจจุบัน
ชุมชนได้แสดงความกังวลเหล่านี้อย่างเปิดเผยมากขึ้น โดยผู้ใช้หลายคนตั้งคำถามว่าทำไมเซิร์ฟเวอร์สื่อในเครื่องถึงต้องการการเชื่อมต่ออินเทอร์เน็ตและการยืนยันบัญชีภายนอก ผู้ใช้บางคนรายงานว่าเมื่อการเชื่อมต่ออินเทอร์เน็ตของพวกเขาขัดข้อง พวกเขาไม่สามารถเข้าถึงไฟล์สื่อในเครื่องของตนเองที่เก็บไว้ในเซิร์ฟเวอร์ส่วนตัวได้
ความท้าทายทางเทคนิคในระหว่างการรีเซ็ตรหัสผ่าน
ผู้ใช้ที่ปฏิบัติตามมาตรการความปลอดภัยที่ Plex แนะนำพบกับอุปสรรคทางเทคนิคที่ไม่คาดคิด บริษัทแนะนำให้ผู้ใช้รีเซ็ตรหัสผ่านและออกจากระบบจากอุปกรณ์ที่เชื่อมต่อทั้งหมด แต่กระบวนการนี้ยังทำให้การอ้างสิทธิ์ความเป็นเจ้าของเซิร์ฟเวอร์หมดอายุด้วย ผู้ใช้หลายคนสูญเสียการเข้าถึงเซิร์ฟเวอร์สื่อของตนเองและต้องใช้เวลาเพิ่มเติมในการเรียกคืนผ่านกระบวนการแบบแมนนวล
ชุมชนเทคนิคได้พัฒนาวิธีแก้ไขปัญหา รวมถึงการใช้ SSH tunneling เพื่อเชื่อมต่อในเครื่องกับเซิร์ฟเวอร์และข้ามกระบวนการอ้างสิทธิ์ อย่างไรก็ตาม วิธีแก้ไขเหล่านี้ต้องการความรู้ทางเทคนิคที่ผู้ใช้ทั่วไปหลายคนขาด ทำให้เกิดอุปสรรคเพิ่มเติมในระหว่างเหตุการณ์ด้านความปลอดภัยที่ก่อให้เกิดความเครียดอยู่แล้ว
การดำเนินการที่ผู้ใช้ต้องปฏิบัติ:
- ผู้ใช้รหัสผ่าน: รีเซ็ตรหัสผ่านที่ https://plex.tv/reset และเปิดใช้งาน "ออกจากระบบอุปกรณ์ที่เชื่อมต่อ"
- ผู้ใช้ SSO : ออกจากระบบในอุปกรณ์ทั้งหมดที่ https://plex.tv/security
- เจ้าของเซิร์ฟเวอร์: เรียกคืนเซิร์ฟเวอร์โดยใช้โทเค็นการเรียกร้องใหม่จาก https://www.plex.tv/claim
การเพิ่มขึ้นของการย้ายไปยังทางเลือกโอเพนซอร์ส
การละเมิดครั้งนี้ได้เร่งการอภิปรายเกี่ยวกับการเปลี่ยนไปใช้ทางเลือกโอเพนซอร์สเช่น Jellyfin ซึ่งไม่ต้องการบัญชีภายนอกสำหรับการตั้งค่าโฮสต์เอง ผู้ใช้รายงานการย้ายที่ประสบความสำเร็จ แม้ว่าพวกเขาจะสังเกตข้อจำกัดบางประการ โดยเฉพาะกับแอปสมาร์ท TV และปัญหาคุณภาพการสตรีมบางอย่างบนแพลตฟอร์มเฉพาะเช่น Apple TV
เมื่อฉันเห็นว่า Plex ต้องการบัญชีแม้แต่การโฮสต์เอง มันก็เป็นสิ่งที่ไม่ได้สำหรับฉัน สิ่งแบบนี้คือเหตุผล
ข้อได้เปรียบหลักที่ Plex ยังคงมีเหนือทางเลือกอื่นคือความพร้อมใช้งานของแอปที่แพร่หลายในแพลตฟอร์มหลักและร้านค้าสมาร์ท TV อย่างไรก็ตาม ชุมชนมองว่าความสะดวกนี้ไม่เพียงพอที่จะชดเชยความเสี่ยงด้านความปลอดภัยและปัญหาการพึ่งพามากขึ้น
ทางเลือกยนยม Plex ที่ได้รับการกล่าวถึง:
- Jellyfin: โอเพนซอร์ส ไม่ต้องสร้างบัญชี แต่มีแอปสำหรับสมาร์ททีวีจำกัด
- Infuse: ทำงานร่วมกับ SMB shares เหมาะสำหรับผู้ใช้ Apple TV
- VLC on Apple TV: สตรีมมิ่งโดยตรงโดยไม่ต้องใช้มิดเดิลแวร์
- OSMC (Kodi + Jellyfin): โซลูชันประหยัดพลังงานสำหรับ Raspberry Pi
สรุป
แม้ว่า Plex ได้แก้ไขช่องโหว่ด้านความปลอดภัยในทันทีและนำมาตรการป้องกันเพิ่มเติมมาใช้ แต่เหตุการณ์นี้เน้นย้ำความกังวลพื้นฐานเกี่ยวกับสถาปัตยกรรมของแพลตฟอร์ม ข้อกำหนดสำหรับบัญชีภายนอกในสถานการณ์โฮสต์เองยังคงสร้างจุดเสี่ยงด้านความปลอดภัยที่โซลูชันในเครื่องล้วนๆสามารถหลีกเลี่ยงได้ เมื่อทางเลือกโอเพนซอร์สเติบโตและปรับปรุงการครอบคลุมแพลตฟอร์ม Plex อาจต้องพิจารณาแนวทางของตนใหม่เพื่อสร้างสมดุลระหว่างความสะดวกกับความปลอดภัยและความเป็นอิสระของผู้ใช้