U-Haul sagde, at angribere var i stand til at kompromittere to individuelle adgangskoder og få adgang til virksomhedens kundekontraktværktøj, afsløre kundenavne og kørekort eller angive identifikationsnumre.
Angribere havde uautoriseret adgang fra 5. november 2021 til 5. april 2022, sagde U-Haul. Da bruddet blev opdaget, ændrede U-Haul de berørte adgangskoder og iværksatte en undersøgelse, forklarede virksomheden den 9. september.
"Undersøgelsen fastslog, at en uautoriseret person havde adgang til kundekontraktsøgningsværktøjet og nogle kundekontrakter," ifølge U-Hauls meddelelse om cybersikkerhedshændelsen. “Ingen af vores finansielle, betalingsbehandling eller U-Haul e-mail-systemer var involveret; adgangen var begrænset til kundekontraktsøgeværktøjet."
U-Hauls adgangskodesikkerhed panoreret
Eksperter som Sami Elhini, med Cerberus Sentinel, panorerede U-Hauls manglende adgangskodesikkerhed.
"I sidste ende er dette et identitetshåndteringsproblem," forklarede Elhini i en e-mail-erklæring. "At fastslå, at du har en afgjort identitet baseret på en vellykket en-faktor-autentificering, er ikke kun lykkeligt uvidende, men også potentielt civilt og kriminelt uagtsomt."
Lior Yaari, administrerende direktør for Grip Security, var også ved at visne i sin vurdering af U-Hauls cybersikkerhed.
"De adgangskoder, der blev kompromitteret i dette U-Haul-angreb, var tydeligvis ikke styret eller beskyttet ordentligt," sagde Yaari i en e-mail-erklæring. "Der er sandsynligvis andre adgangskoder, der allerede kan være blevet kompromitteret, som U-Haul og hundredvis af andre virksomheder ikke er klar over og ikke vil blive opmærksomme på, før et andet brud som dette sker."
Forbedring af adgangskodebeskyttelse
Selvom den præcise tilgang kan være meget på tværs af sektorer og organisationer, sagde Yaari, at industrien er nødt til at stoppe med at gentage de samme fejl og stole på medarbejdere som et effektivt forsvar mod cyberangreb.
"De yderligere sikkerhedsforanstaltninger, som virksomheder tager for at forhindre kompromittering af adgangskode, vil sandsynligvis mislykkes, og denne type brud vil blive gentaget igen og igen,” tilføjede Yaari. "I stedet for at tilføje flere Band-Aids, er industrien nødt til at tage en ny tilgang, der fjerner byrden med at sikre adgangskoder fra medarbejderne."
