U-Haul zei dat aanvallers twee individuele wachtwoorden konden manipuleren en toegang konden krijgen tot de klantcontracttool van het bedrijf, waarbij klantnamen en rijbewijs- of staatsidentificatienummers werden onthuld.
Aanvallers hadden van 5 november 2021 tot 5 april 2022 ongeautoriseerde toegang, aldus U-Haul. Nadat de inbreuk was ontdekt, veranderde U-Haul de getroffen wachtwoorden en startte een onderzoek, zo legde het bedrijf op 9 september uit.
โUit het onderzoek bleek dat een onbevoegde persoon toegang had gekregen tot de zoekfunctie voor klantencontracten en enkele klantcontractenโ, aldus U-Haul's kennisgeving van het cyberbeveiligingsincident. โGeen van onze financiรซle, betalingsverwerkings- of U-Haul-e-mailsystemen was erbij betrokken; de toegang was beperkt tot de zoekfunctie voor klantcontracten.โ
De wachtwoordbeveiliging van U-Haul is gefilterd
Experts als Sami Elhini, met Cerberus Sentinel, hebben het gebrek aan wachtwoordbeveiliging van U-Haul onderzocht.
โUiteindelijk is dit een kwestie van identiteitsbeheerโ, legde Elhini uit in een verklaring per e-mail. โHet vaststellen dat je een vaste identiteit hebt op basis van een succesvolle รฉรฉn-factor-authenticatie is niet alleen zalig onwetend, maar ook potentieel burgerlijk en strafrechtelijk nalatig.โ
Lior Yaari, CEO van Grip Security, was ook teleurgesteld in zijn beoordeling van de cyberbeveiliging van U-Haul.
โDe wachtwoorden die bij deze U-Haul-aanval werden aangetast, werden duidelijk niet goed beheerd of beschermdโ, zei Yaari in een verklaring per e-mail. โEr zijn waarschijnlijk andere wachtwoorden die mogelijk al zijn gecompromitteerd waarvan U-Haul en honderden andere bedrijven zich niet bewust zijn en zich ook niet bewust van zullen worden, totdat er weer een inbreuk als deze plaatsvindt.โ
Wachtwoordbeveiliging verbeteren
Hoewel de precieze aanpak voor verschillende sectoren en organisaties kan gelden, zegt Yaari dat de sector moet ophouden dezelfde fouten te herhalen en te vertrouwen op werknemers als effectieve verdediging tegen cyberaanvallen.
โDe extra veiligheidsmaatregelen die bedrijven nemen om te voorkomen dat wachtwoorden worden gecompromitteerd, zullen waarschijnlijk mislukken dit soort inbreuk zal keer op keer herhaald worden,โ voegde Yaari eraan toe. โIn plaats van meer pleisters toe te voegen, moet de industrie een nieuwe aanpak kiezen die de last van het beveiligen van wachtwoorden voor werknemers wegneemt.โ
