U-Haul a déclaré que les attaquants ont pu compromettre deux mots de passe individuels et accéder à l'outil de contrat client de l'entreprise, exposant ainsi les noms des clients et leurs numéros de permis de conduire ou d'identification d'État.
Les attaquants ont eu un accès non autorisé du 5 novembre 2021 au 5 avril 2022, a indiqué U-Haul. Une fois la faille découverte, U-Haul a modifié les mots de passe concernés et a lancé une enquête, a expliqué la société le 9 septembre.
"L'enquête a déterminé qu'une personne non autorisée a accédé à l'outil de recherche de contrats clients et à certains contrats clients", selon Avis d'U-Haul concernant l'incident de cybersécurité. « Aucun de nos systèmes financiers, de traitement des paiements ou de messagerie U-Haul n'a été impliqué ; l’accès était limité à l’outil de recherche de contrats clients.
La sécurité des mots de passe de U-Haul analysée
Des experts comme Sami Elhini, de Cerberus Sentinel, ont dénoncé le manque de sécurité des mots de passe de U-Haul.
"En fin de compte, il s'agit d'un problème de gestion de l'identité", a expliqué Elhini dans un communiqué envoyé par courrier électronique. "Déterminer que vous avez une identité résolue sur la base d'une authentification à un facteur réussie est non seulement une pure ignorance, mais aussi potentiellement une négligence civile et pénale."
Lior Yaari, PDG de Grip Security, était également pessimiste dans son évaluation de la cybersécurité de U-Haul.
"Les mots de passe compromis lors de cette attaque U-Haul n'étaient clairement pas régis ou protégés correctement", a déclaré Yaari dans un communiqué envoyé par courrier électronique. "Il existe probablement d'autres mots de passe qui ont peut-être déjà été compromis et dont U-Haul et des centaines d'autres entreprises ignorent l'existence et n'en prendront pas conscience jusqu'à ce qu'une autre violation comme celle-ci se produise."
Améliorer la protection des mots de passe
Même si l'approche précise peut varier d'un secteur à l'autre et d'une organisation à l'autre, Yaari a déclaré que l'industrie doit cesser de répéter les mêmes erreurs et de compter sur les employés comme moyen de défense efficace contre les cyberattaques.
« Les mesures de protection supplémentaires prises par les entreprises pour empêcher la compromission des mots de passe échoueront probablement, et ce type de manquement sera répété encore et encore », a ajouté Yaari. "Plutôt que d'ajouter des pansements, l'industrie doit adopter une nouvelle approche qui supprime le fardeau de la sécurisation des mots de passe des employés."
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
