U-Haul cho biết những kẻ tấn công có thể xâm phạm hai mật khẩu cá nhân và truy cập vào công cụ hợp đồng khách hàng của công ty, làm lộ tên khách hàng, bằng lái xe hoặc số nhận dạng tiểu bang.
U-Haul cho biết những kẻ tấn công đã truy cập trái phép từ ngày 5 tháng 2021 năm 5 đến ngày 2022 tháng 9 năm XNUMX. Sau khi phát hiện vi phạm, U-Haul đã thay đổi mật khẩu bị ảnh hưởng và mở một cuộc điều tra, công ty giải thích vào ngày XNUMX tháng XNUMX.
“Cuộc điều tra xác định một người đã truy cập trái phép vào công cụ tìm kiếm hợp đồng khách hàng và một số hợp đồng khách hàng,” theo Thông báo của U-Haul về sự cố an ninh mạng. “Không có hệ thống email tài chính, xử lý thanh toán hoặc email U-Haul nào của chúng tôi có liên quan; quyền truy cập bị giới hạn ở công cụ tìm kiếm hợp đồng khách hàng.”
Bảo mật mật khẩu của U-Haul bị Panned
Các chuyên gia như Sami Elhini, cùng với Cerberus Sentinel, chỉ trích việc U-Haul thiếu bảo mật bằng mật khẩu.
“Cuối cùng, đây là vấn đề quản lý danh tính,” Elhini giải thích trong một tuyên bố gửi qua email. “Việc xác định danh tính của bạn đã được giải quyết dựa trên xác thực một yếu tố thành công không chỉ là hành vi thiếu hiểu biết mà còn có khả năng là sơ suất về mặt dân sự và hình sự.”
Lior Yaari, Giám đốc điều hành của Grip Security cũng tỏ ra dè dặt khi đánh giá về an ninh mạng của U-Haul.
Yaari cho biết trong một tuyên bố gửi qua email: “Các mật khẩu bị lộ trong cuộc tấn công U-Haul này rõ ràng không được quản lý hoặc bảo vệ đúng cách”. “Có thể có những mật khẩu khác có thể đã bị xâm phạm mà U-Haul và hàng trăm công ty khác không biết và sẽ không biết cho đến khi một vi phạm khác như thế này xảy ra.”
Cải thiện bảo vệ mật khẩu
Mặc dù cách tiếp cận chính xác có thể áp dụng cho nhiều lĩnh vực và tổ chức, Yaari cho biết ngành cần ngừng lặp lại những sai lầm tương tự và dựa vào nhân viên như một biện pháp phòng vệ hiệu quả trước cuộc tấn công mạng.
“Các biện pháp bảo vệ bổ sung mà các công ty thực hiện để ngăn chặn việc xâm phạm mật khẩu có thể sẽ thất bại và loại vi phạm này sẽ được lặp đi lặp lại nhiều lần,” Yaari nói thêm. “Thay vì bổ sung thêm Band-Aids, ngành cần thực hiện một cách tiếp cận mới nhằm loại bỏ gánh nặng bảo mật mật khẩu cho nhân viên.”
