Az U-Haul szerint a támadók két egyéni jelszót tudtak feltörni, és hozzáfértek a cég ügyfélszerződés-eszközéhez, felfedve az ügyfelek nevét, a jogosítványt vagy az állami azonosító számokat.
A támadók 5. november 2021. és 5. április 2022. között illetéktelenül fértek hozzá – közölte az U-Haul. Miután felfedezték a jogsértést, az U-Haul megváltoztatta az érintett jelszavakat, és vizsgálatot indított – magyarázta a cég szeptember 9-én.
„A vizsgálat megállapította, hogy illetéktelen személy hozzáfért az ügyfélszerződés-kereső eszközhöz és néhány ügyfélszerződéshez” – áll Az U-Haul értesítése a kiberbiztonsági incidensről. „Egyetlen pénzügyi, fizetésfeldolgozó vagy U-Haul e-mail rendszerünk sem érintett; a hozzáférés az ügyfélszerződés-kereső eszközre korlátozódott.”
Az U-Haul jelszavas biztonsága beépítve
Az olyan szakértők, mint Sami Elhini, a Cerberus Sentinel segítségével felderítették az U-Haul jelszavas biztonságának hiányát.
„Végső soron ez egy személyazonosság-kezelési probléma” – magyarázta Elhini egy e-mailben elküldött nyilatkozatában. "A sikeres egytényezős hitelesítés alapján eldönteni, hogy van-e egy megoldott személyazonossága, nemcsak boldog tudatlanság, hanem potenciálisan polgári és bűnügyi hanyagság is."
Lior Yaari, a Grip Security vezérigazgatója szintén elsorvadt az U-Haul kiberbiztonságának értékelésében.
"Az U-Haul támadás során veszélyeztetett jelszavakat nyilvánvalóan nem szabályozták vagy nem védték megfelelően" - mondta Yaari e-mailben. "Valószínűleg vannak más jelszavak is, amelyeket már feltörhettek, és amelyekről az U-Haul és több száz másik vállalat nem tud, és nem is fognak tudomást szerezni mindaddig, amíg egy újabb, ehhez hasonló jogsértés nem történik."
A jelszavas védelem javítása
Bár a precíz megközelítés nagyon sok ágazatra és szervezetre kiterjedhet, Yaari szerint az iparágnak fel kell hagynia ugyanazokkal a hibákkal, és az alkalmazottakra kell hagyatkoznia a kibertámadások elleni hatékony védekezésként.
„A vállalatok által a jelszókompromittálódás megelőzése érdekében hozott további biztosítékok valószínűleg kudarcot vallanak, és az ilyen típusú jogsértés újra és újra megismétlődik” – tette hozzá Yaari. „Ahelyett, hogy több sebtapaszt adnánk hozzá, az iparágnak új megközelítést kell alkalmaznia, amely eltávolítja a jelszavak védelmének terhét az alkalmazottakról.”
