La société américaine de location de matériel de déménagement et d’entreposage U-Haul a été victime d’une violation de données, une personne non autorisée ayant accédé à un nombre indéterminé de contrats de location, a révélé Amerco, la société mère d’U-Haul, dans un communiqué publié la semaine dernière.
On ne sait pas combien de clients ont été touchés, mais apparemment les informations relatives à leur carte de paiement sont en sécurité – la personne n’avait accès qu’au nom, au permis de conduire ou au numéro d’identification de l’État des clients.
« Nous avons détecté la compromission de deux mots de passe uniques utilisés pour accéder à un outil de recherche de contrats de clients qui permet d’accéder aux contrats de location des clients de U-Haul », peut-on lire dans l’avis de violation de données que U-Haul a commencé à envoyer aux clients concernés le 9 septembre 2022 ou aux alentours de cette date.
L’entreprise a mené une enquête, avec l’aide d’experts externes en cybersécurité, et a conclu que certains contrats de location avaient été consultés entre le 5 novembre 2021 et le 5 avril 2022.
L’avis de violation de données et le dossier ne précisent pas comment les mots de passe permettant d’accéder aux fonctionnalités de l’outil de recherche ont été compromis.
Les informations sur les clients qui ont été consultées ou compromises auraient pu être utilisées à mauvais escient à de nombreuses reprises – et au moins un cabinet d’avocats spécialisé dans les recours collectifs invite les personnes concernées à prendre contact avec lui afin d’explorer les « recours juridiques possibles ».