U-Haul заявил, что злоумышленники смогли скомпрометировать два отдельных пароля и получить доступ к инструменту заключения контрактов с клиентами, раскрывая имена клиентов и водительские права или государственные идентификационные номера.
По словам U-Haul, злоумышленники имели несанкционированный доступ с 5 ноября 2021 года по 5 апреля 2022 года. Как только нарушение было обнаружено, U-Haul изменила затронутые пароли и начала расследование, пояснила компания 9 сентября.
«Расследование установило, что неуполномоченное лицо получило доступ к инструменту поиска контрактов с клиентами и к некоторым контрактам с клиентами», — говорится в сообщении. Уведомление U-Haul об инциденте кибербезопасности. «Ни одна из наших финансовых систем, систем обработки платежей или электронной почты U-Haul не была задействована; доступ был ограничен инструментом поиска контрактов с клиентами».
Защита паролей U-Haul подверглась критике
Такие эксперты, как Сами Эльхини из Cerberus Sentinel, раскритиковали U-Haul за отсутствие защиты паролем.
«В конечном счете, это проблема управления идентификацией», — пояснил Эльхини в заявлении по электронной почте. «Определение того, что у вас есть разрешенная личность на основе успешной однофакторной аутентификации, является не только блаженным невежеством, но и потенциально гражданской и преступной небрежностью».
Лиор Яари, генеральный директор Grip Security, также резко отказался от своей оценки кибербезопасности U-Haul.
«Пароли, скомпрометированные в ходе этой атаки U-Haul, явно не контролировались и не защищались должным образом», — сказал Яари в заявлении, отправленном по электронной почте. «Вероятно, есть и другие пароли, которые, возможно, уже были скомпрометированы, о которых U-Haul и сотни других компаний не знают и не узнают, пока не произойдет еще одно подобное нарушение».
Улучшение защиты паролем
Хотя точный подход может применяться в разных секторах и организациях, Яари сказал, что отрасль должна перестать повторять одни и те же ошибки и полагаться на сотрудников как на эффективную защиту от кибератак.
«Дополнительные меры безопасности, которые принимают компании для предотвращения компрометации паролей, скорее всего, потерпят неудачу, и этот тип нарушения будет повторяться снова и снова», — добавил Яари. «Вместо того, чтобы добавлять больше Band-Aids, отрасли необходимо использовать новый подход, который снимает с сотрудников бремя защиты паролей».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
