U-Haul, müşterilere, bir bilgisayar korsanının, bayilerin ve ekip üyelerinin müşteri rezervasyonlarını takip edebilmesi için dahili bir sisteme erişmek amacıyla çalıntı hesap bilgilerini kullandığını bildirmeye başladı.
İhlal, kişisel bilgileri içeren ancak ödeme ayrıntılarının etkilenmediği müşteri kayıtlarını açığa çıkardı.
U-Haul, müşterilerin ‘kendin yap’ ihtiyaçları için hareketli ekipman ve depolama alanı kiralayan bir Amerikan şirketidir. Ev eşyalarının taşınmasına yönelik kamyonlar, römorklar ve diğer ekipman ve hizmetleri sunmaktadır.
Firma 1945’ten beri faaliyet gösteriyor, 19.500 personele sahip ve yıllık cirosu 4,5 milyar doların üzerinde.
Dün U-Haul, siber saldırıda verilerine izinsiz erişilen müşterilere e-posta göndermeye başladı.
“U-Haul, 5 Aralık 2023’te meşru kimlik bilgilerinin, U-Haul Bayileri ve Ekip Üyelerinin müşteri rezervasyonlarını takip etmek ve müşteri kayıtlarını görüntülemek için kullandığı bir sisteme erişmek için yetkisiz bir tarafça kullanıldığını öğrendi.” – U-Haul
Şirket, müşterilere yaptığı bildirimde “Soruşturma, sizin kayıtlarınızdan biri de dahil olmak üzere erişilen belirli müşteri kayıtlarını tespit etti” dedi.
Bu müşteri kayıtlarında açığa çıkan veri türleri arasında tam adlar, doğum tarihleri ve sürücü belgesi numaraları yer almaktadır.
U-Haul, ihlal edilen sistemin ödeme sistemlerinin bir parçası olmadığını, dolayısıyla bilgisayar korsanlarının ödeme kartı verilerine erişemediğini açıkladı.
Şirket, önlem olarak etkilenen tüm hesapların şifrelerini sıfırladığını ve benzer olayların gelecekte meydana gelmesini önlemek için ek güvenlik önlemleri ve kontrolleri uyguladığını açıkladı.
Veri ihlali bildiriminin alıcıları, mektuplarda nasıl kaydolacaklarına ilişkin talimatlar içeren bir yıllık kimlik hırsızlığı koruma hizmeti alacaklar.
U-Haul bu vakada kaç müşterinin açığa çıktığını belirlemedi.
BleepingComputer, veri ihlali ve bunun etki kapsamı hakkında daha fazla bilgi edinmek için U-Haul ile temasa geçti ancak henüz bir yorum yapılmadı. Ayrıca, bu yazının yazıldığı sırada şirketin web sitesi çevrimdışıydı.
Eylül 2022’de U-Haul, saldırganların Kasım 2021 ile Nisan 2022 arasında müşteri kiralama sözleşmelerine eriştiğini söyleyerek başka bir veri ihlalini açıkladı.
Bu durumda da bilgisayar korsanları, U-Haul’un dahili portalına erişmek için güvenliği ihlal edilmiş iki hesap kimlik bilgisi kullandı.