Пресс-релизы //

Varonis предупреждает о возможности обхода многофакторной аутентификации в BOX

Исследовательская группа компании Varonis, одного из новаторов мирового рынка безопасности и аналитики данных, обнаружила способ обхода многофакторной аутентификации для учетных записей Box, использующих приложения-аутентификаторы, такие как Google Authenticator. В ходе исследования было выявлено, что злоумышленник может использовать украденные учетные данные для взлома учетной записи Box и извлекать конфиденциальных данные без предоставления одноразового пароля.

В январе 2021 года компания Box запустила возможность для учетных записей использовать приложения аутентификации на основе TOTP, такие как Google Authenticator, Okta Verify, Authy, Duo. Box рекомендует TOTP вместо аутентификации на основе SMS по очевидным причинам — SMS-сообщения могут быть перехвачены с помощью подмены SIM-карт, мошенничества при выходе из системы и других методов.

Обычно приложения аутентификаторов, которые соответствуют алгоритму TOTP (одноразовый пароль), не только проще в использовании для конечного пользователя, но и намного безопаснее, чем SMS. Когда пользователь добавляет приложение-аутентификатор в свою учетную запись Box, приложению присваивается ID. Каждый раз, когда пользователь пытается войти в систему, Box запрашивает его электронную почту и пароль, а затем одноразовый пароль от приложения-аутентификатора. Если пользователь не предоставит второй фактор, он не сможет получить доступ к файлам и папкам в своей учетной записи Box. Это обеспечивает вторую линию защиты на случай, если у пользователя слабый пароль (или его утечка).

Но как отмечают аналитики Varonis, конечная точка /mfa/unenrollment не требовала полной аутентификации пользователя, чтобы удалить устройство TOTP из учетной записи пользователя. В результате эксперимента получилось исключить пользователя из MFA после предоставления имени пользователя и пароля, но до предоставления второго фактора. После выполнения этого действия исследователи смогли войти в систему без каких-либо требований MFA и получить полный доступ к учетной записи Box пользователя, включая все его файлы и папки. До исправления этой уязвимости со стороны Box злоумышленники могли компрометировать учетные записи пользователей с помощью подстановки учетных данных, методом перебора паролей.

Чтобы минимизировать вероятность появления ошибки аутентификации, Varonis рекомендует делегировать реализацию MFA провайдеру (например, Okta), который специализируется на аутентификации. В дополнение к требованию MFA, Varonis рекомендует использовать SSO, где это возможно; применять политики надежных паролей, отслеживать сайты, такие как HaveIBeenPwnd, на предмет взломанных учетных записей, связанных с вашим доменом. Кроме того, стоит избегать использования проверочных вопросов, предполагающих простые ответы (например, «Укажите девичью фамилию вашей матери»).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 17:50, 15.12.2021 Количество просмотров: 399
Страна: Россия

Dynamika Фронт-офис для удаленных точек помог ускорить обслуживание в дополнительных офисах Долинск банка, Dynamika, 00:37, 08.06.2024, Россия298

Компания “Динамика” внедрила решение Фронт-офис для удаленных точек обслуживания (УТО) в Долинск банке. Благодаря этому клиенты в УТО могут оперативно получать все основные услуги, не выезжая в отделение банка. А интуитивно понятный интерфейс и принцип Единого окна позволил сделать обслуживание быстрее, обучение операционистов – проще и эффективнее.

Крайон подтвердила статус «Золотого партнёра» i-Sys Labs, Крайон, 00:16, 08.06.2024, Россия289

Крайон, ведущая IT-консалтинговая компания и поставщик интегрированных IT-решений, сообщила о продлении высшего партнёрского статуса в программе отечественного производителя софтверных решений i-Sys Labs.

Пора увидеть, что пороховая бочка дымится, ИВК, 00:15, 08.06.2024, Россия289

5 июня 2024 г., Москва

Сервер мобильных решений (СМР) компании ЭОС теперь поддерживает три операционные системы, не зависящие от импорта — Linux., ЭОС, 00:15, 08.06.2024, Россия296

Разработчики ЭОС добавили в СМР поддержку трёх российских ОС, основанных на свободном программном обеспечении Linux: ОС «Альт Сервера» 10, РЕД ОС 7.3, Astra Linux Special Edition («Воронеж») 1.7.5.

Система управления уязвимостями Vulns.io Enterprise VM поможет повысить защищенность IT-инфраструктур промышленных предприятий, Фродекс, 23:36, 06.06.2024, Россия382

30 мая 2024 года, Москва. Кибербезопасность промышленных предприятий, многие из которых входят в объекты критической инфраструктуры страны, — один из важнейших вопросов национальной безопасности. Компания «Фродекс», один из ведущих российских разработчиков новых технологий и продуктов кибербезопасности, предложила решение, которое позволит повысить уровень защищенность IT-инфраструктур таких предприятий.

Сервисы «Телфин» и Archimed+ выстраивают и структурируют работу медицинских центров, Телфин, 23:25, 06.06.2024, Россия170

Коммуникационные сервисы «Телфин» интегрированы с медицинской информационной системой Archimed+. Поставщики решений предлагают готовый продукт для автоматизации бизнес-процессов и коммуникаций для бизнеса с учетом специфики работы клиник.

В АО "Желдорреммаш" запущен проект “Дашборд”, АО Желдорреммаш, 23:23, 06.06.2024, Россия175

В АО “Желдорреммаш” запущен уникальный инструмент управления и мониторинга - дашборд. Его цель - отслеживание в реальном времени ключевых показателей деятельности компании в месячном и годовом значении, а также плана выполнения различных параметров бережливого производства по каждой производственной площадке Общества.

ЕДИНЫЙ ЦУПИС и академия «Динамо» развивают детско-юношеский футбол в Новгородской области, ЕДИНЫЙ ЦУПИС (НКО "Мобильная карта"), 22:46, 06.06.2024, Россия168

ЕДИНЫЙ ЦУПИС, финтех-проект в регулируемой индустрии развлечений, и Новгородский филиал футбольной академии «Динамо» им. Л.И. Яшина договорились о развитии сотрудничества. При поддержке ЕДИНОГО ЦУПИС в регионе усовершенствуют спортивную инфраструктуру, а воспитанники академии примут участие в престижных футбольных турнирах.

Офис ЕДИНОГО ЦУПИС получил премию Best Office Awards, ЕДИНЫЙ ЦУПИС (НКО "Мобильная карта"), 22:41, 06.06.2024, Россия184

Офис ЕДИНОГО ЦУПИС в Санкт-Петербурге стал победителем премии Best Office Awards 2024 в номинации «Комфорт и эргономика». Одну из главных российских профессиональных наград в области дизайна общественных пространств получили команда финтех-проекта и архитектурного бюро Designic.

Председатель Правления ЕДИНОГО ЦУПИС Елена Шейкина назначена Председателем Комитета по финансовым технологиям Ассоциации банков России, ЕДИНЫЙ ЦУПИС (НКО "Мобильная карта"), 22:39, 06.06.2024, Россия175

Совет Ассоциации банков России утвердил Председателя Правления НКО «Мобильная карта» (работает под брендом «ЕДИНЫЙ ЦУПИС») Елену Шейкину Председателем Комитета по финансовым технологиям. Ассоциация является центром выработки предложений для Правительства и Банка России по развитию финансового сектора и экономики страны.

ЕДИНЫЙ ЦУПИС и «Флант» стали победителями премии TAdviser IT Prize в номинации «Инфраструктура в финтехе: проект года», ЕДИНЫЙ ЦУПИС (НКО "Мобильная карта"), 22:38, 06.06.2024, Россия186

ЕДИНЫЙ ЦУПИС и «Флант» получили национальную награду в сфере информационных технологий TAdviser IT Prize в номинации «Инфраструктура в финтехе: проект года». Компании провели первое в финтех-отрасли внедрение платформы Deckhouse Kubernetes Platform, в результате чего один из крупнейших в России платежных сервисов получил доступ к современным решениям на базе Kubernetes.

ООО «ЭТС-Проект» продолжает расширение компетенций!, ООО "ЭТС-Проект", 22:27, 06.06.2024, Россия316
ООО «ЭТС-Проект» занимается цифровизацией и внедрением IT-продуктов.

Сотрудники сети «Кофемания» перешли в eXpress, eXpress, 22:27, 06.06.2024, Россия171

Компания «Кофемания» перевела корпоративную коммуникацию и бизнес-процессы в российский суперапп для бизнеса eXpress. Первыми пользователями стали 300 сотрудников бекофиса компании.

Уборка «Воды России» на краю земли, ФГБУ «Центр развития ВХК», 22:26, 06.06.2024, Россия174

Всероссийская акция «Вода России», масштабный волонтерский проект по очистке берегов водоемов, пройдет в Новосибирске. Мероприятие реализуется в рамках нацпроекта “Экология” и станет одним из важнейших событий Дня эколога и пройдет в рамках Марафона Зеленых Дел Всероссийского движения «Экосистема».

Tele2 и фонд «Навстречу переменам» поддержат инновационные идеи по улучшению качества жизни детей и подростков, Tele2, 22:22, 06.06.2024, Россия86

Tele2, российский оператор мобильной связи, и фонд поддержки социальных инициатив в сфере детства «Навстречу переменам» объявляют о старте приема заявок на ежегодный конкурс «Навстречу импакт-стартапам». Лидеры социальных проектов для детей, подростков и молодежи смогут получить гранты, а также экспертную и информационную поддержку в развитии своих инициатив.