U-Haul گفت مهاجمان توانستند دو رمز عبور فردی را به خطر بیاندازند و به ابزار قرارداد مشتری شرکت دسترسی پیدا کنند و نام مشتریان و گواهینامه رانندگی یا شماره شناسایی ایالت را فاش کنند.
U-Haul گفت که مهاجمان از 5 نوامبر 2021 تا 5 آوریل 2022 دسترسی غیرمجاز داشتند. این شرکت در 9 سپتامبر توضیح داد که پس از کشف این نقض، U-Haul رمزهای عبور آسیب دیده را تغییر داد و تحقیقاتی را آغاز کرد.
بر اساس این گزارش، "تحقیق مشخص کرد که یک فرد غیرمجاز به ابزار جستجوی قرارداد مشتری و برخی از قراردادهای مشتری دسترسی داشته است." اطلاعیه U-Haul درباره حادثه امنیت سایبری. هیچ یک از سیستم های ایمیل مالی، پردازش پرداخت یا U-Haul ما درگیر نبودند. دسترسی به ابزار جستجوی قرارداد مشتری محدود بود."
امنیت رمز عبور U-Haul بررسی شد
کارشناسانی مانند سامی الهینی، با Cerberus Sentinel، عدم امنیت رمز عبور U-Haul را بررسی کردند.
الهینی در بیانیه ای ایمیلی توضیح داد: «در نهایت، این یک مسئله مدیریت هویت است. "تعیین اینکه شما یک هویت حل شده بر اساس احراز هویت یک عاملی موفق داشته باشید، نه تنها به طرز سعادتمندانه ای نادان است، بلکه به طور بالقوه از نظر مدنی و جنایی نیز سهل انگاری می کند."
لیور یااری، مدیرعامل Grip Security نیز در ارزیابی خود از امنیت سایبری U-Haul ضعیف شده بود.
یااری در بیانیه ای ایمیلی گفت: «گذرواژه های به خطر افتاده در این حمله U-Haul به وضوح کنترل یا محافظت نشده اند. احتمالاً رمزهای عبور دیگری وجود دارد که ممکن است قبلاً در معرض خطر قرار گرفته باشند که U-Haul و صدها شرکت دیگر از آنها بی اطلاع هستند و تا زمانی که نقض دیگری مانند این رخ ندهد از آنها مطلع نخواهند شد.»
بهبود حفاظت از رمز عبور
در حالی که رویکرد دقیق ممکن است در بین بخشها و سازمانها بسیار زیاد باشد، یااری گفت که صنعت باید از تکرار اشتباهات مشابه و تکیه بر کارکنان به عنوان دفاعی مؤثر در برابر حملات سایبری خودداری کند.
اقدامات حفاظتی اضافی که شرکتها برای جلوگیری از نفوذ رمز عبور انجام میدهند، احتمالاً شکست خواهند خورد این نوع نقض یااری افزود: بارها و بارها تکرار خواهد شد. به جای افزودن چسب های بیشتر، صنعت باید رویکرد جدیدی اتخاذ کند که بار ایمن سازی رمز عبور را از دوش کارمندان بردارد.
