เครื่องมือค้นหาสัญญาของลูกค้า U-Haul ถูกบุกรุก

U-Haul กล่าวว่าผู้โจมตีสามารถเจาะรหัสผ่าน XNUMX รหัสและเข้าถึงเครื่องมือสัญญาลูกค้าของบริษัท โดยเปิดเผยชื่อลูกค้าและใบขับขี่หรือหมายเลขประจำตัวของรัฐ

ผู้โจมตีมีการเข้าถึงโดยไม่ได้รับอนุญาตตั้งแต่วันที่ 5 พฤศจิกายน 2021 ถึงวันที่ 5 เมษายน 2022 U-Haul กล่าว เมื่อค้นพบการละเมิด U-Haul เปลี่ยนรหัสผ่านที่ได้รับผลกระทบและเริ่มการสอบสวน บริษัท อธิบายเมื่อวันที่ 9 กันยายน

“การสอบสวนระบุว่าบุคคลที่ไม่ได้รับอนุญาตเข้าถึงเครื่องมือค้นหาสัญญาลูกค้าและสัญญาของลูกค้าบางฉบับ” ตามข้อมูล ประกาศของ U-Haul เกี่ยวกับเหตุการณ์ความปลอดภัยทางไซเบอร์. “ไม่มีระบบการเงิน การประมวลผลการชำระเงิน หรือระบบอีเมล U-Haul ของเราเข้ามาเกี่ยวข้อง การเข้าถึงถูกจำกัดอยู่เพียงเครื่องมือค้นหาสัญญาของลูกค้า”

แพนความปลอดภัยของรหัสผ่านของ U-Haul แล้ว

ผู้เชี่ยวชาญอย่าง Sami Elhini และ Cerberus Sentinel แจ้งว่า U-Haul ขาดการรักษาความปลอดภัยด้วยรหัสผ่าน

“ท้ายที่สุดแล้ว นี่คือปัญหาการจัดการข้อมูลประจำตัว” Elhini อธิบายในแถลงการณ์ทางอีเมล “การตัดสินว่าคุณมีตัวตนที่ได้รับการแก้ไขโดยอาศัยการตรวจสอบสิทธิ์แบบปัจจัยเดียวที่ประสบความสำเร็จไม่เพียงแต่เป็นการเพิกเฉยอย่างมีความสุขเท่านั้น แต่ยังอาจเป็นการประมาทเลินเล่อทั้งทางแพ่งและทางอาญาด้วย”

Lior Yaari ซีอีโอของ Grip Security ประสบปัญหาในการประเมินความปลอดภัยทางไซเบอร์ของ U-Haul เช่นกัน

“รหัสผ่านที่ถูกบุกรุกในการโจมตี U-Haul นี้ไม่ได้ถูกควบคุมหรือป้องกันอย่างถูกต้อง” ยาอาริกล่าวในแถลงการณ์ทางอีเมล “อาจมีรหัสผ่านอื่น ๆ ที่อาจถูกบุกรุกแล้ว ซึ่ง U-Haul และบริษัทอื่น ๆ อีกหลายร้อยแห่ง ไม่ทราบและจะไม่รับรู้ จนกว่าการละเมิดเช่นนี้จะเกิดขึ้นอีกครั้ง”  

การปรับปรุงการป้องกันรหัสผ่าน

แม้ว่าแนวทางที่แม่นยำอาจใช้ทั่วทั้งภาคส่วนและองค์กรต่างๆ ยาอาริกล่าวว่าอุตสาหกรรมจำเป็นต้องหยุดทำข้อผิดพลาดเดิมๆ ซ้ำๆ และอาศัยพนักงานในการป้องกันการโจมตีทางไซเบอร์อย่างมีประสิทธิภาพ

“การป้องกันเพิ่มเติมที่บริษัทใช้เพื่อป้องกันการเจาะรหัสผ่านมีแนวโน้มที่จะล้มเหลว และ การละเมิดประเภทนี้ จะเกิดขึ้นซ้ำแล้วซ้ำเล่า” ยาริกล่าวเสริม “แทนที่จะเพิ่ม Band-Aids มากขึ้น อุตสาหกรรมจำเป็นต้องใช้แนวทางใหม่ที่ขจัดภาระในการรักษาความปลอดภัยรหัสผ่านจากพนักงาน”