Plex telah mengungkapkan insiden keamanan lain di mana pihak ketiga yang tidak berwenang mengakses sebagian kecil data pelanggan, termasuk email, nama pengguna, dan kata sandi yang telah di-hash dengan aman. Ini menandai pelanggaran besar kedua untuk platform streaming media tersebut dalam beberapa tahun terakhir, memicu kembali diskusi komunitas tentang persyaratan akun wajib perusahaan untuk server yang di-host sendiri.
Jenis Data yang Terkompromi:
- Alamat email
- Nama pengguna
- Kata sandi yang di-hash dengan aman (menggunakan bcrypt dengan salt dan pepper)
- Data autentikasi
- Tidak terkompromi: Informasi kartu kredit
Komunitas Mempertanyakan Mandat Akun Plex
Pelanggaran ini telah mengintensifkan kritik terhadap persyaratan Plex bagi pengguna untuk membuat akun bahkan ketika menjalankan setup yang sepenuhnya di-host sendiri. Banyak pengguna mengungkapkan frustrasi karena mereka harus bergantung pada layanan pihak ketiga untuk sesuatu yang mereka host sepenuhnya di perangkat keras dan jaringan mereka sendiri. Ketergantungan ini menciptakan risiko keamanan yang tidak perlu, sebagaimana dibuktikan oleh insiden saat ini.
Komunitas semakin vokal tentang kekhawatiran ini, dengan banyak pengguna mempertanyakan mengapa server media lokal memerlukan konektivitas internet dan verifikasi akun eksternal. Beberapa pengguna melaporkan bahwa ketika koneksi internet mereka terputus, mereka tidak dapat mengakses file media lokal mereka sendiri yang disimpan di server pribadi mereka.
Tantangan Teknis Selama Reset Kata Sandi
Pengguna yang mengikuti langkah-langkah keamanan yang direkomendasikan Plex menghadapi rintangan teknis yang tidak terduga. Perusahaan menyarankan pengguna untuk mereset kata sandi dan keluar dari semua perangkat yang terhubung, tetapi proses ini juga membuat klaim kepemilikan server kedaluwarsa. Banyak pengguna kehilangan akses ke server media mereka sendiri dan harus menghabiskan waktu tambahan untuk mengklaimnya kembali melalui proses manual.
Komunitas teknis telah mengembangkan solusi sementara, termasuk menggunakan SSH tunneling untuk terhubung secara lokal ke server dan melewati proses klaim. Namun, solusi ini memerlukan pengetahuan teknis yang tidak dimiliki banyak pengguna biasa, menciptakan hambatan tambahan selama insiden keamanan yang sudah membuat stres.
Tindakan yang Diperlukan Pengguna:
- Pengguna kata sandi: Reset kata sandi di https://plex.tv/reset dan aktifkan "Sign out connected devices"
- Pengguna SSO: Keluar dari semua perangkat di https://plex.tv/security
- Pemilik server: Klaim ulang server menggunakan token klaim baru dari https://www.plex.tv/claim
Migrasi yang Berkembang ke Alternatif Open Source
Pelanggaran ini telah mempercepat diskusi tentang beralih ke alternatif open source seperti Jellyfin , yang tidak memerlukan akun eksternal untuk setup yang di-host sendiri. Pengguna melaporkan migrasi yang berhasil, meskipun mereka mencatat beberapa keterbatasan, terutama dengan aplikasi smart TV dan masalah kualitas streaming tertentu pada platform spesifik seperti Apple TV .
Begitu saya melihat Plex memerlukan akun bahkan untuk self-host, itu langsung tidak bisa untuk saya. Hal seperti ini adalah alasannya.
Keunggulan utama yang dipertahankan Plex dibandingkan alternatif adalah ketersediaan aplikasi yang luas di seluruh platform utama dan toko smart TV. Namun, komunitas semakin melihat kemudahan ini sebagai kompensasi yang tidak memadai untuk risiko keamanan dan masalah ketergantungan.
Alternatif Populer Plex yang Disebutkan:
- Jellyfin: Sumber terbuka, tidak memerlukan akun, ketersediaan aplikasi smart TV terbatas
- Infuse: Bekerja dengan share SMB, bagus untuk pengguna Apple TV
- VLC di Apple TV: Streaming langsung tanpa middleware
- OSMC (Kodi + Jellyfin): Solusi berdaya rendah untuk pengaturan Raspberry Pi
Kesimpulan
Meskipun Plex telah mengatasi kerentanan keamanan langsung dan menerapkan perlindungan tambahan, insiden ini menyoroti kekhawatiran mendasar tentang arsitektur platform. Persyaratan untuk akun eksternal dalam skenario yang di-host sendiri terus menciptakan titik paparan keamanan yang dapat dihindari oleh solusi yang murni lokal. Seiring alternatif open source matang dan meningkatkan cakupan platform mereka, Plex mungkin perlu mempertimbangkan kembali pendekatannya untuk menyeimbangkan kemudahan dengan keamanan dan otonomi pengguna.
Referensi: Important Notice of Security Incident