وقال U-Haul إن المهاجمين تمكنوا من اختراق كلمتي مرور فرديتين والوصول إلى أداة عقد العملاء الخاصة بالشركة، مما أدى إلى كشف أسماء العملاء ورخصة القيادة أو أرقام تعريف الدولة.
وقال U-Haul إن المهاجمين تمكنوا من الوصول غير المصرح به في الفترة من 5 نوفمبر 2021 إلى 5 أبريل 2022. وأوضحت الشركة في 9 سبتمبر أنه بمجرد اكتشاف الاختراق، قامت U-Haul بتغيير كلمات المرور المتأثرة وبدأت تحقيقًا.
"توصل التحقيق إلى قيام شخص غير مصرح له بالوصول إلى أداة البحث عن عقود العملاء وبعض عقود العملاء"، وفقًا لما ذكره إشعار U-Haul بحادث الأمن السيبراني. "لم يشارك أي من أنظمة البريد الإلكتروني أو أنظمة معالجة الدفع أو أنظمة البريد الإلكتروني U-Haul الخاصة بنا؛ وكان الوصول يقتصر على أداة البحث عن عقود العملاء.
تم انتقاد أمان كلمة المرور الخاصة بـ U-Haul
انتقد خبراء مثل سامي الحني، من Cerberus Sentinel، افتقار U-Haul إلى أمان كلمة المرور.
وأوضح الحليني في بيان عبر البريد الإلكتروني: "في نهاية المطاف، هذه مشكلة تتعلق بإدارة الهوية". "إن تحديد أن لديك هوية تم حلها بناءً على مصادقة ناجحة ذات عامل واحد لا يعد جهلًا بسعادة فحسب، بل قد يكون أيضًا إهمالًا مدنيًا وجنائيًا."
وكان ليور ياري، الرئيس التنفيذي لشركة Grip Security، متذمرًا أيضًا في تقييمه للأمن السيبراني لشركة U-Haul.
وقال ياري في بيان أرسل عبر البريد الإلكتروني: "من الواضح أن كلمات المرور التي تم اختراقها في هجوم U-Haul لم تكن محكومة أو محمية بشكل صحيح". "من المحتمل أن تكون هناك كلمات مرور أخرى ربما تم اختراقها بالفعل، ولا تعلم بها شركة U-Haul، ومئات الشركات الأخرى، ولن تعلم بها، حتى يحدث خرق آخر مثل هذا."
تحسين حماية كلمة المرور
في حين أن النهج الدقيق قد ينطبق على القطاعات والمؤسسات، إلا أن ياري قال إن الصناعة بحاجة إلى التوقف عن تكرار نفس الأخطاء والاعتماد على الموظفين كدفاع فعال ضد الهجمات الإلكترونية.
"من المرجح أن تفشل الضمانات الإضافية التي تتخذها الشركات لمنع اختراق كلمة المرور، و هذا النوع من الانتهاك وأضاف يعاري: "سوف يتكرر مرارا وتكرارا". "بدلاً من إضافة المزيد من الضمادات، تحتاج الصناعة إلى اتباع نهج جديد يزيل عبء تأمين كلمات المرور عن الموظفين."
