U-Haul, saldırganların iki ayrı parolayı ele geçirebildiğini ve şirketin müşteri sözleşme aracına erişerek müşteri adlarını ve ehliyet veya eyalet kimlik numaralarını açığa çıkarabildiğini söyledi.
U-Haul, saldırganların 5 Kasım 2021’den 5 Nisan 2022’ye kadar yetkisiz erişime sahip olduğunu söyledi. Şirket, 9 Eylül’de yaptığı açıklamada, ihlal keşfedildikten sonra, U-Haul etkilenen şifreleri değiştirdi ve bir soruşturma başlattı.
“Soruşturma, yetkisiz bir kişinin müşteri sözleşmesi arama aracına ve bazı müşteri sözleşmelerine eriştiğini belirledi.” U-Haul’un siber güvenlik olayıyla ilgili bildirimi. “Finans, ödeme işleme veya U-Haul e-posta sistemlerimizin hiçbiri dahil değildi; erişim, müşteri sözleşmesi arama aracıyla sınırlıydı.”
U-Haul’un Parola Güvenliği Kaydırıldı
Cerberus Sentinel’den Sami Elhini gibi uzmanlar, U-Haul’un şifre güvenliği eksikliğini eleştirdi.
Elhini, e-postayla gönderilen bir açıklamada, “Nihayetinde, bu bir kimlik yönetimi sorunudur” dedi. “Başarılı bir tek faktörlü kimlik doğrulamaya dayalı olarak çözülmüş bir kimliğe sahip olduğunuzu belirlemek, yalnızca cahilce değil, aynı zamanda potansiyel olarak medeni ve cezai olarak ihmalkardır.”
Grip Security’nin CEO’su Lior Yaari de U-Haul’un siber güvenliğine ilişkin değerlendirmesinde zayıflıyordu.
Yaari, e-postayla gönderilen bir açıklamada, “Bu U-Haul saldırısında ele geçirilen şifreler açıkça yönetilmedi veya düzgün bir şekilde korunmadı.” Dedi. “Muhtemelen, U-Haul’un ve yüzlerce başka şirketin, bunun gibi başka bir ihlal meydana gelene kadar farkında olmadığı ve farkına varmayacağı, zaten ele geçirilmiş olabilecek başka şifreler de vardır.”
Parola Korumalarını İyileştirme
Kesin yaklaşım sektörler ve kuruluşlar arasında çok fazla olabilirken, Yaari endüstrinin aynı hataları tekrarlamayı ve siber saldırılara karşı etkili bir savunma olarak çalışanlara güvenmeyi bırakması gerektiğini söyledi.
Yaari, “Şirketlerin parola güvenliğinin ihlal edilmesini önlemek için aldığı ek önlemler büyük olasılıkla başarısız olacak ve bu tür ihlaller tekrar tekrar tekrarlanacak” dedi. “Sektörün daha fazla yara bandı eklemek yerine, çalışanların parolalarını koruma yükünü ortadan kaldıran yeni bir yaklaşım benimsemesi gerekiyor.”