U-Haul은 공격자가 두 개의 개인 비밀번호를 손상시키고 회사의 고객 계약 도구에 액세스하여 고객 이름과 운전 면허증 또는 주 식별 번호를 노출시킬 수 있었다고 말했습니다.
U-Haul은 공격자들이 5년 2021월 5일부터 2022년 9월 XNUMX일까지 무단 접근을 했다고 밝혔습니다. 유출 사실이 발견되자 유하울은 해당 비밀번호를 변경하고 조사에 착수했다고 XNUMX일 회사가 설명했다.
“조사 결과 승인되지 않은 사람이 고객 계약 검색 도구와 일부 고객 계약에 접근한 것으로 확인되었습니다.” 유홀(U-Haul)의 사이버보안 사건 공지. “우리의 금융, 결제 처리 또는 U-Haul 이메일 시스템은 전혀 관여하지 않았습니다. 고객 계약 검색 도구에 대한 액세스가 제한되었습니다.”
유하울 비밀번호 보안 패닉
Cerberus Sentinel의 Sami Elhini와 같은 전문가들은 U-Haul의 비밀번호 보안 부족을 지적했습니다.
Elhini는 이메일로 보낸 성명에서 “결국 이는 신원 관리 문제입니다.”라고 설명했습니다. “성공적인 1단계 인증을 기반으로 신원이 해결되었는지 확인하는 것은 무지할 뿐만 아니라 민사상, 형사상 과실 가능성이 있습니다.”
Grip Security의 CEO인 Lior Yaari도 U-Haul의 사이버 보안에 대한 평가가 시들었습니다.
Yaari는 이메일로 보낸 성명에서 “이번 U-Haul 공격에서 유출된 비밀번호는 제대로 관리되거나 보호되지 않은 것이 분명합니다.”라고 말했습니다. "이와 같은 또 다른 위반이 발생할 때까지 U-Haul과 수백 개의 다른 회사가 인식하지 못하고 인식하지 못할 이미 손상되었을 수 있는 다른 비밀번호가 있을 수 있습니다."
비밀번호 보호 개선
정확한 접근 방식은 부문과 조직에 따라 다를 수 있지만 Yaari는 업계가 사이버 공격에 대한 효과적인 방어를 위해 동일한 실수를 반복하고 직원에게 의존하는 것을 중단해야 한다고 말했습니다.
“비밀번호 침해를 방지하기 위해 기업이 취하는 추가적인 보호 조치는 실패할 가능성이 높습니다. 이런 종류의 위반 계속해서 반복될 것입니다.”라고 Yaari는 덧붙였습니다. “업계에서는 반창고를 더 추가하기보다는 직원의 비밀번호 보안 부담을 덜어주는 새로운 접근 방식을 취해야 합니다.”
