U-Haul 表示,攻击者能够破解两个单独的密码并访问公司的客户合同工具,从而暴露客户姓名和驾照或州身份证号码。
U-Haul 表示,攻击者在 5 年 2021 月 5 日至 2022 年 9 月 XNUMX 日期间未经授权访问。 该公司在 XNUMX 月 XNUMX 日解释说,一旦发现漏洞,U-Haul 便更改了受影响的密码并展开调查。
“调查确定未经授权的人访问了客户合同搜索工具和一些客户合同,”根据 U-Haul关于网络安全事件的通知. “我们的财务、支付处理或 U-Haul 电子邮件系统均未涉及; 访问仅限于客户合同搜索工具。”
U-Haul 的密码安全性遭到批评
Sami Elhini 和 Cerberus Sentinel 等专家批评 U-Haul 缺乏密码安全性。
“归根结底,这是一个身份管理问题,”Elhini 在一封电子邮件声明中解释道。 “基于成功的单因素身份验证来确定你有一个已解析的身份,这不仅是幸福的无知,而且还可能是民事和刑事疏忽。”
Grip Security 的首席执行官 Lior Yaari 对 U-Haul 网络安全的评估也令人沮丧。
“在这次 U-Haul 攻击中泄露的密码显然没有得到适当的管理或保护,”Yaari 在一封电子邮件声明中说。 “可能还有其他密码可能已经被泄露,U-Haul 和其他数百家公司不知道也不会知道,直到发生另一起类似的违规事件。”
改进密码保护
虽然精确的方法可能跨部门和组织,但 Yaari 表示,该行业需要停止重复同样的错误,并依靠员工来有效防御网络攻击。
“公司为防止密码泄露而采取的额外保护措施可能会失败,并且 这种类型的违反 将一遍又一遍地重复,”Yaari 补充道。 “与其添加更多的创可贴,该行业需要采取一种新的方法来减轻员工保护密码的负担。”