著名的自建媒體伺服器軟件開發商 Plex 今日發布旗下 Plex Media Server 更新版本 1.42.1.10060,修補由用戶報告的一個安全漏洞。這讓人回想起 2023 年一款受歡迎的密碼管理軟件 LastPass,因為工程師未有及時更新家中 Plex Media Server,最終導致 LastPass 大量用戶的密碼庫和個人資料外洩,令 LastPass 名譽掃地的事件。
先說說今次 Plex Media Server 更新,據 Plex 方面表示他們是收到用戶報告,指發現版本 1.41.7.x 至 1.42.0.x 存在漏洞,因此發布版本 1.42.1.10060 來修補,並向安裝了那些版本的用戶發出通知,呼籲大家盡速更新。大家可以透過 Plex Media Server 的更新功能來下載更新。伺服器安裝在 NAS 上的話也可以下載更新檔後,透過 NAS 套件中心進行手動安裝。
員工疏於更新.知名密碼軟件被入侵
Plex Media Server 的保安更新之所以成為 Reddit 花生友的討論題材,是因為 2023 年一宗黑客入侵事件。當年一款受歡迎的密碼管理軟件 LastPass 因為被黑客入侵,導致大量用戶個人資料和保存在該公司雲端伺服器的密碼庫洩漏。
話說黑客利用 2022 年 8 月一次早期攻擊所取得的資料,掌握了 LastPass 開發人員的資料,當中一名軟件工程師家中安裝了 Plex Media Server,但多年來都沒有更新,存在一個其實早已在 2020 年修補了的漏洞。黑客就利用那伺服器軟件有漏洞的鏡頭上傳功能,上傳包含鍵盤側錄功能的惡意程式到工程師的電腦,從而取得 LastPass 伺服器的登入憑證,最終竊取到用戶的資料和密碼庫。事件後更揭發 LastPass 的保安原來相當鬆懈,密碼庫竟然只是部分加密而非完全加密,這令 LastPass 聲譽嚴重受損。
有這前車之鑒,大家真的別小看任何一個程式的更新,丟著不管可能會成為黑客入侵的跳板啊。
