U-Haul กล่าวว่าผู้โจมตีสามารถเจาะรหัสผ่าน XNUMX รหัสและเข้าถึงเครื่องมือสัญญาลูกค้าของบริษัท โดยเปิดเผยชื่อลูกค้าและใบขับขี่หรือหมายเลขประจำตัวของรัฐ
ผู้โจมตีมีการเข้าถึงโดยไม่ได้รับอนุญาตตั้งแต่วันที่ 5 พฤศจิกายน 2021 ถึงวันที่ 5 เมษายน 2022 U-Haul กล่าว เมื่อค้นพบการละเมิด U-Haul เปลี่ยนรหัสผ่านที่ได้รับผลกระทบและเริ่มการสอบสวน บริษัท อธิบายเมื่อวันที่ 9 กันยายน
“การสอบสวนระบุว่าบุคคลที่ไม่ได้รับอนุญาตเข้าถึงเครื่องมือค้นหาสัญญาลูกค้าและสัญญาของลูกค้าบางฉบับ” ตามข้อมูล ประกาศของ U-Haul เกี่ยวกับเหตุการณ์ความปลอดภัยทางไซเบอร์. “ไม่มีระบบการเงิน การประมวลผลการชำระเงิน หรือระบบอีเมล U-Haul ของเราเข้ามาเกี่ยวข้อง การเข้าถึงถูกจำกัดอยู่เพียงเครื่องมือค้นหาสัญญาของลูกค้า”
แพนความปลอดภัยของรหัสผ่านของ U-Haul แล้ว
ผู้เชี่ยวชาญอย่าง Sami Elhini และ Cerberus Sentinel แจ้งว่า U-Haul ขาดการรักษาความปลอดภัยด้วยรหัสผ่าน
“ท้ายที่สุดแล้ว นี่คือปัญหาการจัดการข้อมูลประจำตัว” Elhini อธิบายในแถลงการณ์ทางอีเมล “การตัดสินว่าคุณมีตัวตนที่ได้รับการแก้ไขโดยอาศัยการตรวจสอบสิทธิ์แบบปัจจัยเดียวที่ประสบความสำเร็จไม่เพียงแต่เป็นการเพิกเฉยอย่างมีความสุขเท่านั้น แต่ยังอาจเป็นการประมาทเลินเล่อทั้งทางแพ่งและทางอาญาด้วย”
Lior Yaari ซีอีโอของ Grip Security ประสบปัญหาในการประเมินความปลอดภัยทางไซเบอร์ของ U-Haul เช่นกัน
“รหัสผ่านที่ถูกบุกรุกในการโจมตี U-Haul นี้ไม่ได้ถูกควบคุมหรือป้องกันอย่างถูกต้อง” ยาอาริกล่าวในแถลงการณ์ทางอีเมล “อาจมีรหัสผ่านอื่น ๆ ที่อาจถูกบุกรุกแล้ว ซึ่ง U-Haul และบริษัทอื่น ๆ อีกหลายร้อยแห่ง ไม่ทราบและจะไม่รับรู้ จนกว่าการละเมิดเช่นนี้จะเกิดขึ้นอีกครั้ง”
การปรับปรุงการป้องกันรหัสผ่าน
แม้ว่าแนวทางที่แม่นยำอาจใช้ทั่วทั้งภาคส่วนและองค์กรต่างๆ ยาอาริกล่าวว่าอุตสาหกรรมจำเป็นต้องหยุดทำข้อผิดพลาดเดิมๆ ซ้ำๆ และอาศัยพนักงานในการป้องกันการโจมตีทางไซเบอร์อย่างมีประสิทธิภาพ
“การป้องกันเพิ่มเติมที่บริษัทใช้เพื่อป้องกันการเจาะรหัสผ่านมีแนวโน้มที่จะล้มเหลว และ การละเมิดประเภทนี้ จะเกิดขึ้นซ้ำแล้วซ้ำเล่า” ยาริกล่าวเสริม “แทนที่จะเพิ่ม Band-Aids มากขึ้น อุตสาหกรรมจำเป็นต้องใช้แนวทางใหม่ที่ขจัดภาระในการรักษาความปลอดภัยรหัสผ่านจากพนักงาน”
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์