Пресс-релизы //

Varonis предупреждает о возможности обхода многофакторной аутентификации в BOX

Исследовательская группа компании Varonis, одного из новаторов мирового рынка безопасности и аналитики данных, обнаружила способ обхода многофакторной аутентификации для учетных записей Box, использующих приложения-аутентификаторы, такие как Google Authenticator. В ходе исследования было выявлено, что злоумышленник может использовать украденные учетные данные для взлома учетной записи Box и извлекать конфиденциальных данные без предоставления одноразового пароля.

В январе 2021 года компания Box запустила возможность для учетных записей использовать приложения аутентификации на основе TOTP, такие как Google Authenticator, Okta Verify, Authy, Duo. Box рекомендует TOTP вместо аутентификации на основе SMS по очевидным причинам — SMS-сообщения могут быть перехвачены с помощью подмены SIM-карт, мошенничества при выходе из системы и других методов.

Обычно приложения аутентификаторов, которые соответствуют алгоритму TOTP (одноразовый пароль), не только проще в использовании для конечного пользователя, но и намного безопаснее, чем SMS. Когда пользователь добавляет приложение-аутентификатор в свою учетную запись Box, приложению присваивается ID. Каждый раз, когда пользователь пытается войти в систему, Box запрашивает его электронную почту и пароль, а затем одноразовый пароль от приложения-аутентификатора. Если пользователь не предоставит второй фактор, он не сможет получить доступ к файлам и папкам в своей учетной записи Box. Это обеспечивает вторую линию защиты на случай, если у пользователя слабый пароль (или его утечка).

Но как отмечают аналитики Varonis, конечная точка /mfa/unenrollment не требовала полной аутентификации пользователя, чтобы удалить устройство TOTP из учетной записи пользователя. В результате эксперимента получилось исключить пользователя из MFA после предоставления имени пользователя и пароля, но до предоставления второго фактора. После выполнения этого действия исследователи смогли войти в систему без каких-либо требований MFA и получить полный доступ к учетной записи Box пользователя, включая все его файлы и папки. До исправления этой уязвимости со стороны Box злоумышленники могли компрометировать учетные записи пользователей с помощью подстановки учетных данных, методом перебора паролей.

Чтобы минимизировать вероятность появления ошибки аутентификации, Varonis рекомендует делегировать реализацию MFA провайдеру (например, Okta), который специализируется на аутентификации. В дополнение к требованию MFA, Varonis рекомендует использовать SSO, где это возможно; применять политики надежных паролей, отслеживать сайты, такие как HaveIBeenPwnd, на предмет взломанных учетных записей, связанных с вашим доменом. Кроме того, стоит избегать использования проверочных вопросов, предполагающих простые ответы (например, «Укажите девичью фамилию вашей матери»).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 17:50, 15.12.2021 Количество просмотров: 414
Страна: Россия

LG ОТМЕЧЕНА МНОГОЧИСЛЕННЫМИ НАГРАДАМИ CES 2025 INNOVATION AWARDS, LG Electronics, 04:21, 17.11.2024, Россия80

Компания умных решений для жизни удостоена высокой оценки в различных категориях, получив в том числе три награды Best Innovation Awards

Школьники из России и Беларуси стали победителями международной олимпиады по креативному программированию наряду с участниками из 12 стран, ROBBO, 04:21, 17.11.2024, Россия79

Компания «РОББО», российский производитель образовательной робототехники, организатор Scratch-Олимпиады, подвела итоги 8-й Международной Scratch-Олимпиады по креативному программированию. Финал 2024 года прошел в онлайн формате с 28 сентября по 4 октября. Итоговый протокол опубликован 14 ноября на creativeprogramming.org.

HRlink внедрил кадровый ЭДО в HR-процессы «Юниливер Русь», HRlink, 04:20, 17.11.2024, Россия79

HRlink, разработчик сервиса кадрового ЭДО, автоматизировал кадровые процессы одного из лидеров российского FMCG-рынка компании «Юниливер Русь». Внедрение платформы позволило повысить эффективность работы HR-департамента – доля подписанных документов в среднем теперь составляет 97%.

«Аэродиск» выпускает opensource-версию системы управления vAIR, Аэродиск, 04:20, 17.11.2024, Россия79
Компания «Аэродиск», российский разработчик и производитель решений в области хранения данных и виртуализации, выпустил OpenSource-версию системы управления виртуализацией ИТ-инфраструктуры — Open vAIR.

«Газинформсервис» на AQ PRO: укрепление лидерства в сфере кибербезопасности, Газинформсервис, 04:15, 17.11.2024, Россия44

«Газинформсервис» принял участие в ежегодной конференции компании «Аквариус» «AQ PRO Время решений». В рамках мероприятия, где эксперты и представители ИТ-индустрии обсуждали актуальные технологические вызовы в сфере отечественной электроники и программного обеспечения, «Газинформсервис» представил ряд докладов, посвящённых решениям для повышения информационной безопасности.

Jatoba и TrueConf Enterprise: безопасная видеосвязь для критически важных инфраструктур, Газинформсервис, 04:14, 17.11.2024, Россия50

Разработка отечественной компании «Газинформсервис» — защищённая система управления базами данных (СУБД) Jatoba — интегрирована с программной платформой видеоконференцсвязи (ВКС) TrueConf Enterprise.

Как заказчику подготовиться к внедрению 1С:ERP на производственном предприятии, ООО "Цифровизация производства", 04:13, 17.11.2024, Россия60

Планируете внедрение ERP, но не знаете с чего начать? Начали настраивать 1С:ERP самостоятельно, но что-то пошло не так? Не удовлетворены результатом внедрения другого интегратора? Тогда регистрируйтесь на наш вебинар «Как заказчику подготовиться к внедрению 1С:ERP на производственном предприятии» 21 ноября в 11:00 ЗАРЕГИСТРИРОВАТЬСЯ – (ССЫЛКА)

Ставропольский край улучшает показатели по медицинским инцидентам с помощью аналитической платформы «N3.Аналитика», Нетрика, 04:12, 17.11.2024, Россия41

Платформа управления данными «N3.Аналитика», разработанная специалистами компании «Нетрика Медицина», позволяет органам управления здравоохранением Ставропольского края планомерно улучшать доступность и качество медицинской помощи

Pragmatic Tools и MONT заключили соглашение о стратегическом партнерстве в области импортозамещения, MONT, 04:12, 17.11.2024, Россия47

Компания Pragmatic Tools, разработчик программных продуктов для цифровой трансформации ИТ-инфраструктуры, и группа компаний MONT, один из крупнейших дистрибьюторов программного обеспечения в России, договорились о сотрудничестве

IT-компания PMP Tech признана «Лучшим предприятием отрасли» 2023 года, PMP Tech, 04:09, 17.11.2024, Россия61

ООО «ПМП ТЕХ» объявляет о своей номинации и признании «Лучшим предприятием отрасли 2023» в ежегодной премии, организованной Центром аналитических исследований. Эта награда стала итогом всесторонней аналитики и оценки компании, проведенной на основании данных, полученных от федеральных статистических органов и налоговой службы РФ.

«Лента» интегрировала GMonit для поддержки работоспособности SAP-систем, GMonit, 04:09, 17.11.2024, Россия62

В связи с переходом на insource поддержку SAP-систем ритейлер внедрил observability платформу GMonit, которая позволила улучшить осведомленность о текущем состоянии вендорских решений, обеспечить их стабильность и эффективность работы.

VolgaBlob — новый стратегический партнер Nubes, Nubes, 04:08, 17.11.2024, Россия39

Облачный провайдер Nubes и компания VolgaBlob подписали соглашение о стратегическом сотрудничестве. Тем самым они обеспечили возможность развернуть платформу Smart Monitor для своих клиентов.

Возможности системы Optimining обсудили на All-over-IP 2024, Систематика, 04:07, 17.11.2024, Россия43

Команда разработчиков российской системы для мониторинга и анализа бизнес-процессов Optimining рассказала о возможностях продукта участникам Форума All-over-IP & Digital Transformation 2024.

«Рейтинг Рунета»: Налог в 3% с рекламы в интернете – достаточно мягкий вариант для рекламодателей, Рейтинг Рунета, 03:58, 17.11.2024, Россия43

Эксперты «Рейтинга Рунета» считают приемлемым налог на рекламу в интернете в размере 3%. Эту цифру озвучил в качестве обсуждаемой заместитель председателя комитета Госдумы по информационной политике Антон Горелкин в своем телеграм-аккаунте.

«Рейтинг Рунета» запустил телеграм-бот подбора digital-подрядчиков, Рейтинг Рунета, 03:58, 17.11.2024, Россия47

«Рейтинг Рунета» разработал бот, упрощающий поиск подрядчика. Теперь заказчики могут найти разработчика сайта или PR-агентство за пару минут, ответив на несколько простых вопросов. С момента возникновения идеи до реализации прошло 10 месяцев. Стоимость разработки составила 1,3 млн рублей.