U-Haul אמר כי התוקפים הצליחו להתפשר על שתי סיסמאות בודדות ולגשת לכלי חוזה הלקוחות של החברה, תוך חשיפת שמות לקוחות ורישיון נהיגה או מספרי זיהוי של המדינה.
לתוקפים הייתה גישה לא מורשית מ-5 בנובמבר 2021 עד 5 באפריל 2022, אמר U-Haul. לאחר שהתגלתה ההפרה, U-Haul שינתה את הסיסמאות המושפעות ופתחה בחקירה, כך הסבירה החברה ב-9 בספטמבר.
"החקירה קבעה שאדם לא מורשה ניגש לכלי חיפוש חוזי הלקוחות ולכמה חוזי לקוחות", לפי הודעת U-Haul על אירוע אבטחת הסייבר. "אף אחת ממערכות הדוא"ל הפיננסיות, עיבוד התשלומים או U-Haul שלנו לא הייתה מעורבת; הגישה הוגבלה לכלי חיפוש חוזי לקוחות."
אבטחת הסיסמאות של U-Haul פנתה
מומחים כמו סמי אלחיני, עם Cerberus Sentinel, סידרו את חוסר אבטחת הסיסמה של U-Haul.
"בסופו של דבר, זו בעיה של ניהול זהויות", הסביר אלחיני בהצהרה שנשלחה בדוא"ל. "הקביעה שיש לך זהות פתורה המבוססת על אימות מוצלח של גורם אחד היא לא רק בורות מבורכת, אלא גם עלולה להתרשל מבחינה אזרחית ופלילית."
גם ליאור יערי, מנכ"ל Grip Security קמל בהערכתו לגבי אבטחת הסייבר של U-Haul.
"הסיסמאות שנפרצו במתקפת ה-U-Haul הזו היו בבירור לא נשלטו או מוגנות כראוי", אמר יערי בהצהרה שנשלחה בדוא"ל. "כנראה יש סיסמאות אחרות שאולי כבר נפגעו, ש-U-Haul, ומאות חברות אחרות, לא מודעים להן ולא יהיו מודעים להן, עד שתתרחש פרצה נוספת כמו זו".
שיפור הגנת סיסמאות
בעוד שהגישה המדויקת עשויה לחצות מגזרים וארגונים, יערי אמר שהתעשייה צריכה להפסיק לחזור על אותן טעויות ולהסתמך על עובדים כהגנה יעילה מפני מתקפות סייבר.
"האמצעים הנוספים שחברות נוקטות כדי למנוע התפשרות על סיסמה ייכשלו סוג זה של הפרה יחזור על עצמו שוב ושוב", הוסיף יערי. "במקום להוסיף עוד פלסטרים, התעשייה צריכה לנקוט בגישה חדשה שתסיר את הנטל של אבטחת סיסמאות מהעובדים."
