U-Haul повідомила, що зловмисникам вдалося скомпрометувати два індивідуальні паролі та отримати доступ до інструменту клієнтського контракту компанії, розкривши імена клієнтів, водійські права або державні ідентифікаційні номери.
За словами U-Haul, зловмисники мали несанкціонований доступ з 5 листопада 2021 року по 5 квітня 2022 року. Після виявлення злому U-Haul змінив уражені паролі та розпочав розслідування, пояснила компанія 9 вересня.
«Розслідування встановило, що неавторизована особа отримала доступ до інструменту пошуку клієнтських контрактів і деяких клієнтських контрактів», - йдеться в повідомленні Повідомлення U-Haul про інцидент кібербезпеки. «Жодна з наших фінансових систем, систем обробки платежів або електронної пошти U-Haul не була задіяна; доступ був обмежений до інструменту пошуку клієнтських контрактів».
Безпека пароля U-Haul заборонена
Експерти, такі як Самі Елхіні з Cerberus Sentinel, заперечували відсутність захисту пароля в U-Haul.
«Зрештою, це питання керування ідентифікацією», — пояснив Елхіні в заяві, надісланій електронною поштою. «Встановлення вашої ідентифікації на основі успішної однофакторної автентифікації є не тільки блаженним невіглаством, але й потенційно цивільною та кримінальною недбалістю».
Ліор Яарі, генеральний директор Grip Security, також не оцінив кібербезпеки U-Haul.
«Паролі, зламані під час цієї атаки U-Haul, явно не керувалися та не були захищені належним чином», — сказав Яарі в заяві, надісланій електронною поштою. «Існують, ймовірно, інші паролі, які, можливо, вже були зламані, про які U-Haul і сотні інших компаній не знають і не дізнаються, доки не станеться інше подібне порушення».
Покращення захисту паролем
Хоча точний підхід може застосовуватися для різних секторів і організацій, Яарі сказав, що галузі потрібно припинити повторювати ті самі помилки та покладатися на співробітників як ефективний захист від кібератак.
«Додаткові заходи безпеки, які компанії вживають для запобігання злому пароля, швидше за все, не принесуть результатів цей вид порушення буде повторюватися знову і знову», – додав Яарі. «Замість того, щоб додавати нові лейкопластирі, галузь має застосувати новий підхід, який зніме тягар захисту паролів від працівників».
