Пресс-релизы //

Varonis предупреждает о возможности обхода многофакторной аутентификации в BOX

Исследовательская группа компании Varonis, одного из новаторов мирового рынка безопасности и аналитики данных, обнаружила способ обхода многофакторной аутентификации для учетных записей Box, использующих приложения-аутентификаторы, такие как Google Authenticator. В ходе исследования было выявлено, что злоумышленник может использовать украденные учетные данные для взлома учетной записи Box и извлекать конфиденциальных данные без предоставления одноразового пароля.

В январе 2021 года компания Box запустила возможность для учетных записей использовать приложения аутентификации на основе TOTP, такие как Google Authenticator, Okta Verify, Authy, Duo. Box рекомендует TOTP вместо аутентификации на основе SMS по очевидным причинам — SMS-сообщения могут быть перехвачены с помощью подмены SIM-карт, мошенничества при выходе из системы и других методов.

Обычно приложения аутентификаторов, которые соответствуют алгоритму TOTP (одноразовый пароль), не только проще в использовании для конечного пользователя, но и намного безопаснее, чем SMS. Когда пользователь добавляет приложение-аутентификатор в свою учетную запись Box, приложению присваивается ID. Каждый раз, когда пользователь пытается войти в систему, Box запрашивает его электронную почту и пароль, а затем одноразовый пароль от приложения-аутентификатора. Если пользователь не предоставит второй фактор, он не сможет получить доступ к файлам и папкам в своей учетной записи Box. Это обеспечивает вторую линию защиты на случай, если у пользователя слабый пароль (или его утечка).

Но как отмечают аналитики Varonis, конечная точка /mfa/unenrollment не требовала полной аутентификации пользователя, чтобы удалить устройство TOTP из учетной записи пользователя. В результате эксперимента получилось исключить пользователя из MFA после предоставления имени пользователя и пароля, но до предоставления второго фактора. После выполнения этого действия исследователи смогли войти в систему без каких-либо требований MFA и получить полный доступ к учетной записи Box пользователя, включая все его файлы и папки. До исправления этой уязвимости со стороны Box злоумышленники могли компрометировать учетные записи пользователей с помощью подстановки учетных данных, методом перебора паролей.

Чтобы минимизировать вероятность появления ошибки аутентификации, Varonis рекомендует делегировать реализацию MFA провайдеру (например, Okta), который специализируется на аутентификации. В дополнение к требованию MFA, Varonis рекомендует использовать SSO, где это возможно; применять политики надежных паролей, отслеживать сайты, такие как HaveIBeenPwnd, на предмет взломанных учетных записей, связанных с вашим доменом. Кроме того, стоит избегать использования проверочных вопросов, предполагающих простые ответы (например, «Укажите девичью фамилию вашей матери»).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 17:50, 15.12.2021 Количество просмотров: 494
Страна: Россия

«1С-Рарус» расширил возможности коммуникаций и обновил интерфейсы в 1С:CRM, 1С-Рарус, 20:22, 28.03.2026, Россия233

«1С-Рарус» совместно с фирмой «1С» развивает линейку решений 1С:CRM. Новые инструменты помогают компаниям быстрее работать с клиентами, видеть узкие места в продажах и повышать качество коммуникаций. В числе новшеств — улучшенный интерфейс, ИИ-ассистент, обновленная воронка продаж, расширенные возможности АРМ «Монитор руководителя» и «Диалоги».

Space и TERA предложат рынку готовые комплексные решения для импортозамещения критически важных систем, ДАКОМ М, 20:22, 28.03.2026, Россия231

Компания TERA, IT-дистрибьютор, и российский разработчик «ДАКОМ М» (бренд Space) объявляют о заключении партнерского соглашения. В рамках сотрудничества TERA будет продвигать всю линейку продуктов экосистемы виртуализации Space.

Ютрейс Промо: новая инфраструктура промоакций для маркированных товаров на базе ГИС МТ «Честный Знак», Utrace, 20:22, 28.03.2026, Россия231

Ютрейс (Utrace), разработчик ИТ-решений для управления цифровой маркировкой, запускает платформу Ютрейс Промо. Это полноценная инфраструктура для промокампаний в категориях маркированных товаров, использующая данные ГИС МТ «Честный Знак».

Без барьера биометрии: «Выберу.ру» составил рейтинг лучших онлайн-займов в марте 2026 года, Финансовый маркетплейс "Выберу.ру", 20:21, 28.03.2026, Россия237

С 1 марта 2026 года онлайн-займы в микрофинансовых компаниях (МФК) клиентам разрешены только по биометрии. Однако МКК кредитуют без этого ограничения. А «Выберу.ру» изучил параметры онлайн-займов и подготовил рейтинг наиболее выгодных продуктов с максимальным шансом на одобрение. Топ-подборка позволит одолжить с минимальной околонулевой переплатой.

Руководители подразделений Северо-Кавказского филиала ФГУП «УВО Минтранса России» приобщились к историческому наследию донского казачества, Северо-Кавказский филиал ФГУП "УВО Минтранса России", 20:19, 28.03.2026, Россия227

В Ростове-на-Дону в рамках учебно-методических сборов начальники подразделений Северо-Кавказского филиала ведомственной охраны Минтранса России посетили единственный в России центр «Донская Казачья Гвардия». При поддержке профсоюза для них провели экскурсию по уникальной экспозиции, посвященной гвардейским казачьим полкам, которые на протяжении полутора веков охраняли российских императоров.

Рацпредложение сократило время сервисного обслуживания локомотивов, ООО ЛокоТех-Сервис, 20:18, 28.03.2026, Россия259
Рацпредложение сократило время сервисного обслуживания локомотивов

3Logic Group и «Софтлайн» реализовали поставку серверного решения для «Инсека», 3Logic Group, 20:18, 28.03.2026, Россия235

3Logic Group, российский дистрибьютор ИТ-оборудования, совместно с «Софтлайн», поставщиком ИТ-решений и услуг, поставили серверное оборудование для компании «Инсека», специализирующейся на обучении и практической подготовке специалистов по кибербезопасности.

Служба каталога ALD Pro 3.0 сертифицирована по 2 уровню доверия ФСТЭК России, "Группа Астра", 20:12, 28.03.2026, Россия235

«Группа Астра» сообщает о завершении процедуры сертификации очередного обновления 3.0.0с программного комплекса «ALD Pro» (сертификат ФСТЭК России № 4830 от 26 июля 2024 г., переоформлен 9 декабря 2024 г.).

«Энергосбыт Волга» назвала управляющие компании с самыми большими долгами за электричество, ООО "Энергосбыт Волга", 20:07, 28.03.2026, Россия232

Гарантирующий поставщик электроэнергии во Владимирской области «Энергосбыт Волга» опубликовал список крупных должников среди управляющих компаний.

Компания «Новые платформы» подвела итоги 2025 года, Новые платформы, 20:06, 28.03.2026, Россия234

Российский разработчик и производитель радиоэлектронной продукции «Новые платформы» подвел итоги 2025 года. За истекший период компания увеличила штат на 10%. Важно, что в финансовой структуре «Новых платформ» отсутствуют кредиты – компания развивается за счет собственных средств.

Наружная реклама нового тарифа МТС на всесезонном курорте «Волчиха»., Рекламное Агентство IQ, 20:04, 28.03.2026, Россия264
Зимой 2025-2026 года агентство IQ разместило наружную рекламу нового тарифа МТС на всесезонном курорте Волчиха в Свердловской области.

VolgaBlob выходит на рынок Узбекистана, VolgaBlob, 20:04, 28.03.2026, Россия240
Российский разработчик и интегратор VolgaBlob с более чем 20-летним опытом на рынке кибербезопасности объявляет о запуске своей флагманской платформы Smart Monitor на рынке Узбекистана.

Hybrid Metaverse запустил крупнейшую в России рекламную сеть в Minecraft, Hybrid, 20:04, 28.03.2026, Россия237
После блокировки Roblox в России в декабре 2025 года компания Hybrid Metaverse, входящая в AdTech-экосистему Hybrid, перестроила рекламную инфраструктуру и объявила о запуске крупнейшей рекламной сети в Minecraft.

Minervasoft обновила совместный редактор в системе управления знаниями Minerva Knowledge, Minervasoft, 20:03, 28.03.2026, Россия81

Компания Minervasoft расширила функциональность совместного редактирования в базе знаний с ИИ-ассистентом Minerva Knowledge. Новая версия редактора обеспечивает одновременную работу множества пользователей в режиме реального времени, что минимизирует риск возникновения конфликта версий и повышает прозрачность изменений.

Компания ГЕРОФАРМ автоматизирует HR-процессы с помощью Neon HRM, Nexign, 20:02, 28.03.2026, Россия75

Система поможет автоматизировать работу с целеполаганием, обучением, развитием, карьерой и вовлеченностью сотрудников, создать единое инфополе с помощью корпоративного портала, а также позволит HR получать аналитику по основным процессам управления персоналом.