La storia si ripete in casa Plex: la popolare piattaforma di media streaming ha subito un nuovo data breach che ricorda drammaticamente quello del 2022, con modalità e dati compromessi pressoché identici. L’azienda ha iniziato a inviare email agli utenti utilizzando una terminologia virtualmente identica a quella usata tre anni fa, confermando l’accesso non autorizzato a username, indirizzi email e password crittografate.

Un déjà-vu preoccupante

L’aspetto più inquietante di questa nuova violazione è la sorprendente somiglianza con l’incidente del 2022, sia nei dati compromessi che nella comunicazione aziendale. Nel 2022, Plex aveva dichiarato che “una terza parte è riuscita ad accedere a un sottoinsieme limitato di dati che include email, username e password crittografate”.

La comunicazione del 2025 suona quasi identica: “una terza parte non autorizzata ha avuto accesso a un sottoinsieme limitato di dati dei clienti da uno dei nostri database. Sebbene abbiamo rapidamente contenuto l’incidente, le informazioni a cui si è avuto accesso includevano email, username e password con hash sicuro”.

Questa ripetizione quasi perfetta solleva interrogativi fondamentali sulla sicurezza a lungo termine dell’infrastruttura Plex e sull’efficacia delle misure implementate dopo il primo breach. La terminologia tecnica è stata solo leggermente aggiornata, con l’utilizzo di “hash sicuro” invece di “crittografate”, ma la sostanza rimane invariata: gli stessi tipi di dati sono stati nuovamente compromessi. Il fatto che si tratti del secondo breach identico in tre anni non è un buon segnale.

Messaggi contraddittori

A differenza del 2022, quando Plex aveva imposto obbligatoriamente il cambio password a tutti gli utenti, questa volta la comunicazione appare contradditoria e confusa, creando incertezza tra gli utenti su quale sia effettivamente la procedura richiesta. L’introduzione dell’email adotta un tono rassicurante:

“qualsiasi password di account a cui si potrebbe aver avuto accesso era protetta con hash sicuro, in accordo con le migliori prtatiche, il che significa che non possono essere lette da terze parti. Per abbondante cautela, raccomandiamo di resettare immediatamente la password visitando https://plex.tv/reset”.

Il linguaggio utilizzato suggerisce una raccomandazione piuttosto che un requisito obbligatorio, usando termini come “raccomandiamo” invece di “richiediamo”. Tuttavia, più avanti nella stessa comunicazione, il tono cambia drasticamente sotto l’intestazione “Cosa devi fare”, dove Plex dichiara: “Chiediamo gentilmente di resettare immediatamente la password del tuo account Plex visitando https://plex.tv/reset”.

L’azienda raccomanda anche di abilitare l’opzione “Disconnetti dispositivi collegati dopo il cambio password”, avvertendo che questo comporterà la disconnessione da tutti i dispositivi, inclusi i Plex Media Server, richiedendo un nuovo login con la nuova password. Plex afferma di aver già risolto la vulnerabilità che ha permesso l’accesso al sistema e di star conducendo ulteriori revisioni della propria sicurezza.