U-Haul sa att angripare kunde kompromissa med två individuella lösenord och komma åt företagets kundkontraktsverktyg, avslöja kundnamn och körkort eller ange identifikationsnummer.
Angripare hade obehörig åtkomst från 5 november 2021 till 5 april 2022, sa U-Haul. När intrånget upptäcktes ändrade U-Haul de berörda lösenorden och inledde en utredning, förklarade företaget den 9 september.
"Utredningen fastställde att en obehörig person hade tillgång till sökverktyget för kundkontrakt och vissa kundkontrakt," enligt U-Hauls meddelande om cybersäkerhetsincidenten. "Inga av våra ekonomi-, betalnings- eller U-Haul-e-postsystem var inblandade; åtkomsten var begränsad till sökverktyget för kundkontrakt.”
U-Hauls lösenordssäkerhet panoreras
Experter som Sami Elhini, med Cerberus Sentinel, panorerade U-Hauls brist på lösenordssäkerhet.
"I slutändan är det här en identitetshanteringsfråga", förklarade Elhini i ett e-postmeddelande. "Att fastställa att du har en fastställd identitet baserad på en framgångsrik enfaktorsautentisering är inte bara lyckligt okunnig, utan också potentiellt civilrättsligt och kriminellt försumligt."
Lior Yaari, vd för Grip Security, var också vissnar i sin bedömning av U-Hauls cybersäkerhet.
"Lösenorden som komprometterades i den här U-Haul-attacken var uppenbarligen inte styrda eller skyddade på rätt sätt," sa Yaari i ett e-postmeddelande. "Det finns förmodligen andra lösenord som redan kan ha äventyrats som U-Haul, och hundratals andra företag, är omedvetna om och inte kommer att bli medvetna om, förrän ett annat intrång som detta inträffar."
Förbättra lösenordsskydd
Även om det exakta tillvägagångssättet kan vara tvärs över sektorer och organisationer, sa Yaari att branschen måste sluta upprepa samma misstag och förlita sig på anställda som ett effektivt försvar mot cyberattack.
"De ytterligare skyddsåtgärder företag vidtar för att förhindra lösenordskompromettering kommer sannolikt att misslyckas, och denna typ av intrång kommer att upprepas om och om igen, tillade Yaari. "Istället för att lägga till fler plåster måste branschen ta ett nytt tillvägagångssätt som tar bort bördan med att säkra lösenord från anställda."
