U-Haul sa at angripere var i stand til å kompromittere to individuelle passord og få tilgang til selskapets kundekontraktverktøy, og avslørte kundenavn og førerkort eller oppgi identifikasjonsnumre.
Angripere hadde uautorisert tilgang fra 5. november 2021 til 5. april 2022, sa U-Haul. Så snart bruddet ble oppdaget, endret U-Haul de berørte passordene og startet en etterforskning, forklarte selskapet 9. september.
"Undersøkelsen viste at en uautorisert person hadde tilgang til søkeverktøyet for kundekontrakter og noen kundekontrakter," ifølge U-Hauls melding om cybersikkerhetshendelsen. «Ingen av våre finansielle, betalingsbehandlings- eller U-Haul e-postsystemer var involvert; tilgangen var begrenset til søkeverktøyet for kundekontrakter."
U-Hauls passordsikkerhet panorert
Eksperter som Sami Elhini, med Cerberus Sentinel, panorerte U-Hauls mangel på passordsikkerhet.
"Til syvende og sist er dette et identitetshåndteringsproblem," forklarte Elhini i en e-postmelding. "Å fastslå at du har en avgjort identitet basert på en vellykket enfaktorautentisering er ikke bare lykkelig uvitende, men også potensielt sivilt og kriminelt uaktsomt."
Lior Yaari, administrerende direktør i Grip Security, ble også visnet i sin vurdering av U-Hauls cybersikkerhet.
"Passordene som ble kompromittert i dette U-Haul-angrepet ble tydeligvis ikke styrt eller beskyttet ordentlig," sa Yaari i en e-postmelding. "Det er sannsynligvis andre passord som allerede kan ha blitt kompromittert som U-Haul, og hundrevis av andre selskaper, er uvitende om og ikke vil bli klar over før et nytt brudd som dette skjer."
Forbedre passordbeskyttelsen
Selv om den nøyaktige tilnærmingen kan være på tvers av sektorer og organisasjoner, sa Yaari at industrien må slutte å gjenta de samme feilene og stole på ansatte som et effektivt forsvar mot nettangrep.
"De ekstra sikkerhetstiltakene selskapene tar for å forhindre passordkompromittering vil sannsynligvis mislykkes, og denne typen brudd vil bli gjentatt om og om igjen, la Yaari til. "I stedet for å legge til flere plaster, må industrien ta en ny tilnærming som fjerner byrden med å sikre passord fra ansatte."
