Пресс-релизы //

Varonis предупреждает о возможности обхода многофакторной аутентификации в BOX

Исследовательская группа компании Varonis, одного из новаторов мирового рынка безопасности и аналитики данных, обнаружила способ обхода многофакторной аутентификации для учетных записей Box, использующих приложения-аутентификаторы, такие как Google Authenticator. В ходе исследования было выявлено, что злоумышленник может использовать украденные учетные данные для взлома учетной записи Box и извлекать конфиденциальных данные без предоставления одноразового пароля.

В январе 2021 года компания Box запустила возможность для учетных записей использовать приложения аутентификации на основе TOTP, такие как Google Authenticator, Okta Verify, Authy, Duo. Box рекомендует TOTP вместо аутентификации на основе SMS по очевидным причинам — SMS-сообщения могут быть перехвачены с помощью подмены SIM-карт, мошенничества при выходе из системы и других методов.

Обычно приложения аутентификаторов, которые соответствуют алгоритму TOTP (одноразовый пароль), не только проще в использовании для конечного пользователя, но и намного безопаснее, чем SMS. Когда пользователь добавляет приложение-аутентификатор в свою учетную запись Box, приложению присваивается ID. Каждый раз, когда пользователь пытается войти в систему, Box запрашивает его электронную почту и пароль, а затем одноразовый пароль от приложения-аутентификатора. Если пользователь не предоставит второй фактор, он не сможет получить доступ к файлам и папкам в своей учетной записи Box. Это обеспечивает вторую линию защиты на случай, если у пользователя слабый пароль (или его утечка).

Но как отмечают аналитики Varonis, конечная точка /mfa/unenrollment не требовала полной аутентификации пользователя, чтобы удалить устройство TOTP из учетной записи пользователя. В результате эксперимента получилось исключить пользователя из MFA после предоставления имени пользователя и пароля, но до предоставления второго фактора. После выполнения этого действия исследователи смогли войти в систему без каких-либо требований MFA и получить полный доступ к учетной записи Box пользователя, включая все его файлы и папки. До исправления этой уязвимости со стороны Box злоумышленники могли компрометировать учетные записи пользователей с помощью подстановки учетных данных, методом перебора паролей.

Чтобы минимизировать вероятность появления ошибки аутентификации, Varonis рекомендует делегировать реализацию MFA провайдеру (например, Okta), который специализируется на аутентификации. В дополнение к требованию MFA, Varonis рекомендует использовать SSO, где это возможно; применять политики надежных паролей, отслеживать сайты, такие как HaveIBeenPwnd, на предмет взломанных учетных записей, связанных с вашим доменом. Кроме того, стоит избегать использования проверочных вопросов, предполагающих простые ответы (например, «Укажите девичью фамилию вашей матери»).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 17:50, 15.12.2021 Количество просмотров: 479
Страна: Россия

Затраты бизнеса на кибербезопасность в 2026 году продолжат расти, UDV Group, 22:42, 23.01.2026, Россия275

Расходы коммерческих компаний и госорганизаций на информационную безопасность (ИБ) в следующем году увеличатся, но изменится их структура.

Производитель упаковки NOVAROLL автоматизировал кадровый ЭДО с помощью HRlink, HRlink, 22:42, 23.01.2026, Россия280
Группа компаний NOVAROLL полностью отказалась от бумаги в кадровом делопроизводстве и перевела в электронный формат более 5 000 сотрудников — от рабочих производственных площадок до иностранных граждан.

«DатаРу Технологии» расширила линейку серверов новым решением «ДатаРу ХФ5298», ДатаРу, 22:42, 23.01.2026, Россия271
Отечественный производитель серверного и сетевого оборудования «DатаРу Технологии» обновил линейку серверов под хранение данных, дополнив ее новой моделью «ДатаРу ХФ5298».

«Скорозвон» вошёл в рейтинг крупнейших и быстрорастущих поставщиков SaaS в России по версии CNews Analytics, Сервис «Скорозвон», 22:40, 23.01.2026, Россия281

Облачный сервис «Скорозвон» вошёл в рейтинг крупнейших поставщиков SaaS в России по версии CNews Analytics. В 2023–2024 годах выручка компании выросла на 49,72%, демонстрируя значительную динамику развития.

Компания GMONIT выпустила обновление в observability платформе, ускоряющее устранение ошибок, GMONIT, 22:37, 23.01.2026, Россия297

Российский разработчик расширил возможности observability платформы GMONIT, направленной на сокращение времени простоя бизнес-систем. Новый модуль консолидирует все ключевые телеметрические данные в одном интерфейсе, минимизирует необходимость работы с десятками дашбордов и ускоряет устранение инцидентов.

Toshiba TV продемонстрировала усовершенствованную платформу REGZA Intelligence на выставке CES 2026, Toshiba TV, 22:31, 23.01.2026, Россия210
Модернизация звука, изображения и поиска контента с помощью ИИ

CorpSoft24 создала сервис для обезличивания документов при работе с нейросетями, CorpSoft24, 22:28, 23.01.2026, Россия74

Компания CorpSoft24 и ее лаборатория инноваций CorpLab разработали прототип сервиса для автоматической анонимизации данных. Решение позволит сотрудникам компаний использовать внешние ИИ-сервисы, такие как ChatGPT, без риска утечки персональных данных и коммерческой тайны.

Прикладное ПО «HMISKO» от «НЭК.ТЕХ» внесено в реестр Минцифры, ООО "НЭК ТЕХ", 22:27, 23.01.2026, Россия73

Разработанное научно-техническим центром «НЭК.ТЕХ» (входит в Группу «НЭК») прикладное ПО «HMISKO», предназначенное для использования совместно с устройствами УПАСК ПКУС СКО в системах автоматизации, контроля и мониторинга промышленных и энергетических объектов, внесено в Единый реестр российского программного обеспечения.

Платформа Optimacros стала лидером исследования «Созвездие IBP 2025» от «Технологий Доверия», Оптимакрос, 22:26, 23.01.2026, Россия77

Компания «Технологии Доверия» (ex-PwC) провела исследование российского рынка IBP-систем. Аналитики ТеДо рассмотрели ключевые отечественные программные продукты в классе Integrated Business Planning, оценили их функциональные возможности и стратегию развития.

«Платформа Боцман» признана лучшей российской Kubernetes-платформой для ИИ и машинного обучения, "Группа Астра", 22:25, 23.01.2026, Россия79

Рейтинг представлен в рамках масштабного обзора, посвященного российским решениям для оркестрации, предназначенным специально для создания, развертывания и управления приложениями машинного обучения.

Hisense приняла участие в выставке CES 2026, Hisense, 22:24, 23.01.2026, Россия74

Hisense, один из ведущих мировых производителей телевизионной и бытовой техники, подводит итоги участия в выставке CES 2026, которая с 6 по 9 января состоялась в Лас-Вегасе (штат Невада, США). Компания представила ряд новых, в том числе революционных, технологий и удостоилась почетных наград.

«Агроэко» повысил компетенции сотрудников в области ИИ с помощью команды Axenix, Axenix, 22:20, 23.01.2026, Россия71
Российский агропромышленный холдинг «Агроэко» продолжает планомерную реализацию стратегии цифровой трансформации.

Verme завершила обновление WFM-системы и программы учета рабочего времени, Verme, 22:19, 23.01.2026, Россия67

Компания Verme, разработчик решений для повышения эффективности линейного персонала, обновила два флагманских продукта. WFM-система получила улучшенный пользовательский интерфейс, а программа учета рабочего времени – возможность бесперебойной работы при проблемах с интернетом и дополнительную защиту от фрода.

От контроля к управлению: у систем управленческой отчетности появляется новый функционал, Некстби, 22:18, 23.01.2026, Россия174
Возможности ИТ-систем для автоматизации управленческой отчетности в России сегодня активно расширяются.

Бастион подтвердил экспертизу в защите облачных и гибридных сред, Бастион, 22:15, 23.01.2026, Россия65

Компания по информационной безопасности «Бастион» получила специализацию в рамках партнерской программы «Лаборатории Касперского» — Cloud Workload Protection (CWP). Новый статус подтверждает опыт компании в обеспечении комплексной безопасности облачных инфраструктур и сред разработки.