U-Haul powiedział, że atakującym udało się złamać dwa indywidualne hasła i uzyskać dostęp do narzędzia obsługi umów z klientami, ujawniając nazwiska klientów oraz numery prawa jazdy lub stanowe numery identyfikacyjne.
Według U-Haul atakujący mieli nieautoryzowany dostęp od 5 listopada 2021 r. do 5 kwietnia 2022 r. Po wykryciu naruszenia firma U-Haul zmieniła hasła, których dotyczy problem, i wszczęła dochodzenie – wyjaśniła 9 września firma.
„Dochodzenie wykazało, że nieupoważniona osoba uzyskała dostęp do narzędzia wyszukiwania umów klientów i niektórych umów klientów” – podaje Zawiadomienie U-Haul o incydencie związanym z cyberbezpieczeństwem. „Żaden z naszych systemów finansowych, przetwarzania płatności ani poczty elektronicznej U-Haul nie był zaangażowany; dostęp został ograniczony do narzędzia do wyszukiwania umów z klientami.”
Bezpieczeństwo hasła U-Haul sprawdzone
Eksperci tacy jak Sami Elhini i Cerberus Sentinel krytykowali brak bezpieczeństwa haseł w U-Haul.
„Ostatecznie jest to kwestia zarządzania tożsamością” – wyjaśniła Elhini w oświadczeniu przesłanym e-mailem. „Stwierdzenie, że masz ustaloną tożsamość na podstawie udanego uwierzytelnienia jednoskładnikowego, jest nie tylko błogą ignorancją, ale także potencjalnie cywilnym i karnym zaniedbaniem”.
Lior Yaari, dyrektor generalny Grip Security, również był obojętny w swojej ocenie cyberbezpieczeństwa U-Haul.
„Hasła przejęte w wyniku ataku U-Haul najwyraźniej nie były odpowiednio zarządzane ani chronione” – stwierdziła Yaari w oświadczeniu przesłanym pocztą elektroniczną. „Prawdopodobnie istnieją inne hasła, które mogły już zostać naruszone, a których U-Haul i setki innych firm nie są świadome i nie będą świadome, dopóki nie nastąpi kolejne takie naruszenie”.
Ulepszanie zabezpieczeń hasłem
Chociaż precyzyjne podejście może dotyczyć wielu sektorów i organizacji, Yaari stwierdził, że branża musi przestać powtarzać te same błędy i polegać na pracownikach jako skutecznej obronie przed cyberatakiem.
„Dodatkowe zabezpieczenia stosowane przez firmy w celu zapobiegania ujawnieniu haseł prawdopodobnie zawiodą i tego typu naruszenie będzie powtarzany w kółko” – dodał Yaari. „Zamiast dodawać kolejne plastry, branża musi przyjąć świeże podejście, które odciąży pracowników od konieczności zabezpieczania haseł”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych