U-Haul sagte, dass es den Angreifern gelungen sei, zwei individuelle Passwörter zu kompromittieren und auf das Kundenvertragstool des Unternehmens zuzugreifen, wodurch Kundennamen und Führerschein- oder staatliche Identifikationsnummern preisgegeben würden.
Angreifer hatten vom 5. November 2021 bis zum 5. April 2022 unbefugten Zugriff, sagte U-Haul. Als der Verstoß entdeckt wurde, änderte U-Haul die betroffenen Passwörter und leitete eine Untersuchung ein, erklärte das Unternehmen am 9. September.
„Die Untersuchung ergab, dass eine unbefugte Person auf das Suchtool für Kundenverträge und einige Kundenverträge zugegriffen hat“, heißt es U-Hauls Mitteilung über den Cybersicherheitsvorfall. „Keines unserer Finanz-, Zahlungsabwicklungs- oder U-Haul-E-Mail-Systeme war beteiligt; Der Zugriff war auf das Kundenvertragssuchtool beschränkt.“
Die Passwortsicherheit von U-Haul wurde verschoben
Experten wie Sami Elhini von Cerberus Sentinel kritisierten den Mangel an Passwortsicherheit bei U-Haul.
„Letztendlich handelt es sich hierbei um ein Problem des Identitätsmanagements“, erklärte Elhini in einer per E-Mail versandten Erklärung. „Auf der Grundlage einer erfolgreichen Ein-Faktor-Authentifizierung festzustellen, dass Sie über eine geklärte Identität verfügen, ist nicht nur eine glückliche Ignoranz, sondern möglicherweise auch zivil- und strafrechtlich fahrlässig.“
Auch Lior Yaari, CEO von Grip Security, ließ in seiner Einschätzung der Cybersicherheit von U-Haul nach.
„Die bei diesem U-Haul-Angriff kompromittierten Passwörter wurden eindeutig nicht ordnungsgemäß verwaltet oder geschützt“, sagte Yaari in einer per E-Mail versandten Erklärung. „Wahrscheinlich gibt es noch andere Passwörter, die möglicherweise bereits kompromittiert wurden und von denen U-Haul und Hunderte andere Unternehmen nichts wissen und die sie erst dann bemerken werden, wenn ein weiterer Verstoß wie dieser auftritt.“
Verbesserung des Passwortschutzes
Während der genaue Ansatz branchen- und organisationsübergreifend unterschiedlich sein könnte, sagte Yaari, die Branche müsse aufhören, dieselben Fehler zu wiederholen und sich auf Mitarbeiter als wirksame Verteidigung gegen Cyberangriffe zu verlassen.
„Die zusätzlichen Sicherheitsvorkehrungen, die Unternehmen ergreifen, um eine Passwortkompromittierung zu verhindern, werden wahrscheinlich scheitern diese Art von Verstoß wird immer wieder wiederholt“, fügte Yaari hinzu. „Anstatt weitere Pflaster hinzuzufügen, muss die Branche einen neuen Ansatz verfolgen, der den Mitarbeitern die Last nimmt, Passwörter zu sichern.“
