U-Haul ütles, et ründajad suutsid ohustada kahte individuaalset parooli ja pääseda juurde ettevõtte kliendilepingu tööriistale, paljastades klientide nimed ja juhiloa või osariigi identifitseerimisnumbrid.
U-Hauli sõnul oli ründajatel volitamata juurdepääs 5. novembrist 2021 kuni 5. aprillini 2022. Pärast rikkumise avastamist muutis U-Haul mõjutatud paroole ja alustas uurimist, selgitas ettevõte 9. septembril.
"Uurimine tuvastas volitamata isiku juurdepääsu kliendilepingute otsingutööriistale ja mõnele kliendilepingule," märgitakse U-Hauli teade küberjulgeolekuintsidendi kohta. „Ükski meie finants-, maksete töötlemise ega U-Hauli meilisüsteem ei olnud sellega seotud; juurdepääs piirdus kliendilepingute otsingu tööriistaga.
U-Hauli parooliturvalisus
Eksperdid, nagu Sami Elhini koos Cerberus Sentineliga, uurisid U-Hauli parooliturbe puudumist.
"Lõppkokkuvõttes on see identiteedihalduse probleem," selgitas Elhini meili teel saadetud avalduses. "Eduka ühefaktorilise autentimise põhjal lahendatud identiteedi kindlakstegemine pole mitte ainult õndsalt teadmatus, vaid ka potentsiaalselt tsiviil- ja kriminaalne hooletus."
Grip Security tegevjuht Lior Yaari oli samuti närbunud oma hinnangus U-Hauli küberturvalisusele.
"Selle U-Hauli rünnaku käigus ohustatud paroolid ei olnud ilmselgelt korralikult reguleeritud ega kaitstud," ütles Yaari e-kirjas saadetud avalduses. "Tõenäoliselt on ka teisi paroole, mis võivad olla juba rikutud ja millest U-Haul ja sajad teised ettevõtted ei tea ega saa teada enne, kui toimub uus selline rikkumine."
Paroolikaitse parandamine
Kuigi täpne lähenemine võib ulatuda sektorite ja organisatsioonide lõikes, peab Yaari sõnul tööstus lõpetama samade vigade kordamise ja toetuma töötajatele kui tõhusale kaitsele küberrünnakute vastu.
"Täiendavad kaitsemeetmed, mida ettevõtted paroolide kompromissi vältimiseks võtavad, ebaõnnestuvad tõenäoliselt ja seda tüüpi rikkumine seda korratakse ikka ja jälle,” lisas Yaari. "Selle asemel, et lisada rohkem Band-Aids'i, peab tööstus võtma kasutusele värske lähenemisviisi, mis eemaldaks töötajatelt paroolide turvamise koormuse."
