U-Haul mengatakan penyerang dapat mengkompromikan dua kata sandi individu dan mengakses alat kontrak pelanggan perusahaan, memperlihatkan nama pelanggan dan SIM atau nomor identifikasi negara.
Penyerang memiliki akses tidak sah dari 5 November 2021 hingga 5 April 2022, kata U-Haul. Setelah pelanggaran ditemukan, U-Haul mengubah kata sandi yang terpengaruh dan meluncurkan penyelidikan, perusahaan menjelaskan pada 9 September.
โInvestigasi menentukan orang yang tidak berwenang mengakses alat pencarian kontrak pelanggan dan beberapa kontrak pelanggan,โ menurut Pemberitahuan U-Haul tentang insiden keamanan siber. โTidak ada sistem keuangan, pemrosesan pembayaran, atau email U-Haul kami yang terlibat; aksesnya terbatas pada alat pencarian kontrak pelanggan.โ
Keamanan Kata Sandi U-Haul Digeser
Pakar seperti Sami Elhini, dengan Cerberus Sentinel, menyorot kurangnya keamanan kata sandi U-Haul.
โPada akhirnya, ini adalah masalah manajemen identitas,โ jelas Elhini dalam pernyataan email. โMenentukan Anda memiliki identitas yang diselesaikan berdasarkan otentikasi satu faktor yang berhasil tidak hanya sangat bodoh, tetapi juga berpotensi lalai secara perdata dan pidana.โ
Lior Yaari, CEO Grip Security juga ragu dalam penilaiannya terhadap keamanan siber U-Haul.
"Kata sandi yang dikompromikan dalam serangan U-Haul ini jelas tidak diatur atau dilindungi dengan baik," kata Yaari dalam pernyataan email. โMungkin ada kata sandi lain yang mungkin telah disusupi yang tidak disadari oleh U-Haul, dan ratusan perusahaan lain, dan tidak akan diketahui, sampai pelanggaran lain seperti ini terjadi.โ
Meningkatkan Perlindungan Kata Sandi
Sementara pendekatan yang tepat mungkin sangat lintas sektor dan organisasi, Yaari mengatakan industri perlu berhenti mengulangi kesalahan yang sama dan mengandalkan karyawan sebagai pertahanan yang efektif terhadap serangan siber.
โPengamanan tambahan yang diambil perusahaan untuk mencegah kompromi kata sandi kemungkinan besar akan gagal, dan jenis pelanggaran ini akan terulang lagi dan lagi,โ tambah Yaari. โDaripada menambahkan lebih banyak Band-Aids, industri perlu mengambil pendekatan baru yang menghilangkan beban mengamankan kata sandi dari karyawan.โ