U-Haul, saldırganların iki ayrı şifreyi ele geçirip şirketin müşteri sözleşmesi aracına erişerek müşteri adlarını, ehliyet veya devlet kimlik numaralarını açığa çıkarabildiklerini söyledi.
U-Haul, saldırganların 5 Kasım 2021'den 5 Nisan 2022'ye kadar yetkisiz erişime sahip olduğunu söyledi. Şirketin 9 Eylül'de yaptığı açıklamaya göre, ihlal tespit edildikten sonra U-Haul etkilenen şifreleri değiştirdi ve bir soruşturma başlattı.
"Soruşturma, yetkisiz bir kişinin müşteri sözleşmesi arama aracına ve bazı müşteri sözleşmelerine eriştiğini belirledi." U-Haul'un siber güvenlik olayıyla ilgili bildirimi. “Finansal, ödeme işleme veya U-Haul e-posta sistemlerimizin hiçbiri dahil olmadı; erişim müşteri sözleşmesi arama aracıyla sınırlıydı.”
U-Haul'un Şifre Güvenliği Paniğe Uğradı
Cerberus Sentinel'den Sami Elhini gibi uzmanlar, U-Haul'un şifre güvenliği eksikliğini eleştirdi.
Elhini, e-postayla gönderdiği açıklamada "Sonuçta bu bir kimlik yönetimi sorunudur" dedi. "Başarılı bir tek faktörlü kimlik doğrulamaya dayalı olarak çözümlenmiş bir kimliğe sahip olduğunuzu belirlemek yalnızca mutluluk verici bir cahillik değil, aynı zamanda potansiyel olarak hukuki ve cezai açıdan ihmalkarlıktır."
Grip Security'nin CEO'su Lior Yaari de U-Haul'un siber güvenliğine ilişkin değerlendirmesinde zayıftı.
Yaari, e-postayla gönderdiği açıklamada, "Bu U-Haul saldırısında ele geçirilen şifreler açıkça düzgün bir şekilde yönetilmiyor veya korunmuyor" dedi. "Muhtemelen U-Haul'un ve diğer yüzlerce şirketin farkında olmadığı ve bunun gibi başka bir ihlal meydana gelene kadar farkına varmayacağı başka şifreler de ele geçirilmiş olabilir."
Parola Korumasını İyileştirme
Kesin yaklaşım sektörler ve kuruluşlar genelinde geçerli olsa da Yaari, sektörün aynı hataları tekrarlamayı ve siber saldırılara karşı etkili bir savunma olarak çalışanlara güvenmeyi bırakması gerektiğini söyledi.
"Şirketlerin şifre ele geçirilmesini önlemek için aldığı ek önlemler muhtemelen başarısız olacak ve bu tür bir ihlal defalarca tekrarlanacak” diye ekledi Yaari. "Sektörün, daha fazla yara bandı eklemek yerine çalışanların şifrelerini koruma yükünü ortadan kaldıracak yeni bir yaklaşım benimsemesi gerekiyor."
