U-Haul dijo que los atacantes pudieron comprometer dos contraseñas individuales y acceder a la herramienta de contrato de clientes de la compañía, exponiendo los nombres de los clientes y los números de licencia de conducir o de identificación estatal.
Los atacantes tuvieron acceso no autorizado desde el 5 de noviembre de 2021 hasta el 5 de abril de 2022, dijo U-Haul. Una vez que se descubrió la infracción, U-Haul cambió las contraseñas afectadas e inició una investigación, explicó la compañía el 9 de septiembre.
"La investigación determinó que una persona no autorizada accedió a la herramienta de búsqueda de contratos de clientes y a algunos contratos de clientes", según Aviso de U-Haul sobre el incidente de ciberseguridad. “Ninguno de nuestros sistemas financieros, de procesamiento de pagos o de correo electrónico de U-Haul estuvo involucrado; el acceso se limitó a la herramienta de búsqueda de contratos de clientes”.
Seguridad de contraseña de U-Haul analizada
Expertos como Sami Elhini, de Cerberus Sentinel, criticaron la falta de seguridad de las contraseñas de U-Haul.
"En última instancia, se trata de un problema de gestión de identidad", explicó Elhini en un comunicado enviado por correo electrónico. "Determinar que usted tiene una identidad resuelta basándose en una autenticación de un solo factor exitosa no sólo es felizmente ignorante, sino también potencialmente negligente civil y criminalmente".
Lior Yaari, director ejecutivo de Grip Security, también fue fulminante en su evaluación de la ciberseguridad de U-Haul.
"Las contraseñas comprometidas en este ataque de U-Haul claramente no estaban gobernadas ni protegidas adecuadamente", dijo Yaari en un comunicado enviado por correo electrónico. "Probablemente haya otras contraseñas que ya hayan sido comprometidas y que U-Haul y cientos de otras empresas desconocen y no conocerán hasta que ocurra otra violación como esta".
Mejorar las protecciones de contraseña
Si bien el enfoque preciso podría variar entre sectores y organizaciones, Yaari dijo que la industria debe dejar de repetir los mismos errores y confiar en los empleados como una defensa eficaz contra los ciberataques.
“Las medidas de seguridad adicionales que toman las empresas para evitar que las contraseñas se vean comprometidas probablemente fallarán, y este tipo de incumplimiento se repetirá una y otra vez”, añadió Yaari. "En lugar de agregar más curitas, la industria necesita adoptar un nuevo enfoque que elimine la carga de proteger las contraseñas de los empleados".
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
