Пресс-релизы //

Varonis предупреждает о возможности обхода многофакторной аутентификации в BOX

Исследовательская группа компании Varonis, одного из новаторов мирового рынка безопасности и аналитики данных, обнаружила способ обхода многофакторной аутентификации для учетных записей Box, использующих приложения-аутентификаторы, такие как Google Authenticator. В ходе исследования было выявлено, что злоумышленник может использовать украденные учетные данные для взлома учетной записи Box и извлекать конфиденциальных данные без предоставления одноразового пароля.

В январе 2021 года компания Box запустила возможность для учетных записей использовать приложения аутентификации на основе TOTP, такие как Google Authenticator, Okta Verify, Authy, Duo. Box рекомендует TOTP вместо аутентификации на основе SMS по очевидным причинам — SMS-сообщения могут быть перехвачены с помощью подмены SIM-карт, мошенничества при выходе из системы и других методов.

Обычно приложения аутентификаторов, которые соответствуют алгоритму TOTP (одноразовый пароль), не только проще в использовании для конечного пользователя, но и намного безопаснее, чем SMS. Когда пользователь добавляет приложение-аутентификатор в свою учетную запись Box, приложению присваивается ID. Каждый раз, когда пользователь пытается войти в систему, Box запрашивает его электронную почту и пароль, а затем одноразовый пароль от приложения-аутентификатора. Если пользователь не предоставит второй фактор, он не сможет получить доступ к файлам и папкам в своей учетной записи Box. Это обеспечивает вторую линию защиты на случай, если у пользователя слабый пароль (или его утечка).

Но как отмечают аналитики Varonis, конечная точка /mfa/unenrollment не требовала полной аутентификации пользователя, чтобы удалить устройство TOTP из учетной записи пользователя. В результате эксперимента получилось исключить пользователя из MFA после предоставления имени пользователя и пароля, но до предоставления второго фактора. После выполнения этого действия исследователи смогли войти в систему без каких-либо требований MFA и получить полный доступ к учетной записи Box пользователя, включая все его файлы и папки. До исправления этой уязвимости со стороны Box злоумышленники могли компрометировать учетные записи пользователей с помощью подстановки учетных данных, методом перебора паролей.

Чтобы минимизировать вероятность появления ошибки аутентификации, Varonis рекомендует делегировать реализацию MFA провайдеру (например, Okta), который специализируется на аутентификации. В дополнение к требованию MFA, Varonis рекомендует использовать SSO, где это возможно; применять политики надежных паролей, отслеживать сайты, такие как HaveIBeenPwnd, на предмет взломанных учетных записей, связанных с вашим доменом. Кроме того, стоит избегать использования проверочных вопросов, предполагающих простые ответы (например, «Укажите девичью фамилию вашей матери»).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 17:50, 15.12.2021 Количество просмотров: 462
Страна: Россия

CorpSoft24 выполнила тройную норму на конкурсе «1С:Проект года», CorpSoft24, 21:10, 18.09.2025, Россия120
Компания CorpSoft24 стала лауреатом конкурса «1С:Проект года» за 2024 год сразу в трех номинациях: «Комплексное управление ресурсами предприятия(ERP)», «Инвестиционные компании, фонды» и «Металлообработка».

«БФТ.Платформа» и СУБД «Персей» успешно прошли испытания на совместимость, БФТ-Холдинг, 21:10, 18.09.2025, Россия114
БФТ-Холдинг и компания «МТ-Интеграция» подтвердили по итогам испытаний совместимость low-code платформы «БФТ.Платформа» с российской Системой управления базами данных «Персей» (СУБД «Персей»).

Cовместимость СХД ATLAS с платформой виртуализации zVirt позволит заказчикам повысить производительность инфраструктуры, ATLAS, 21:04, 18.09.2025, Россия100

В ходе комплексного тестирования эксперты проверили работоспособность различных уровней дисковых ресурсов СХД ATLAS.SM, как блочных (FC/iSCSI), так и файловых (NFS), в кластерной конфигурации и stand-alone.

Подтверждена совместимость UDV DATAPK Industrial Kit и системы автоматизации и диспетчеризации MasterSCADA 4D от IEK DIGITAL, UDV Group, 21:40, 17.09.2025, Россия166

ГК UDV Group и IEK DIGITAL провели испытания совместимости своих решений для обеспечения информационной безопасности промышленных сетей.

Axenix проведет в ИТМО образовательный курс по ИТ-архитектуре, Axenix, 21:39, 17.09.2025, Россия177

Консалтинговая технологическая компания Axenix запускает Архитектурную школу в Университете ИТМО. В ходе цикла лекций и практических занятий эксперты компании познакомят студентов с самыми актуальными методиками, инструментами и технологиями проектирования ИТ-решений.

ГК «Кортрос» внедрила систему продвинутой аналитики «Дельта BI», Дельта BI, 21:33, 17.09.2025, Россия171

ГК «Кортрос» перешла на импортонезависимую систему бизнес-аналитики «Дельта BI». В результате проекта в компании получили единое окно для управления данными на всех уровнях бизнеса — в нужное время и с необходимой степенью детализации.

Одолжить до аванса: «Выберу.ру» составил рейтинг лучших займов в сентябре 2025 года, Финансовый маркетплейс "Выберу.ру", 21:39, 17.09.2025, Россия173

«Выберу.ру» изучил параметры онлайн-займов МФО и МКК и подготовил рейтинг наиболее выгодных и востребованных заёмщиками продуктов. Топ-подборка продуктов позволит найти решение с минимально возможной переплатой по долгу.

«1С:Магазин одежды и обуви» получил сертификат «1С:Совместимо», 1С-Рарус, 21:38, 17.09.2025, Россия197

«1С:Розница 8. Магазин одежды и обуви» редакции 3.0 в очередной раз прошел сертификацию «Совместимо! Система программ 1С:Предприятие». Продукт создан компаний «1С-Рарус» на базе «1С:Розница» специально для магазинов одежды, обуви, аксессуаров и спортивных товаров.

Переход от специалиста к руководителю: структурируйте управление ИТ-эксплуатацией за 9 недель, Cleverics, 21:33, 17.09.2025, Россия174
Cleverics объявляет набор на новый 9-недельный учебный курс «Руководитель эксплуатации ИТ», который даст ИТ-специалистам готовую систему управления ИТ-эксплуатации. Старт курса 24 октября.

Fork-Tech провёл аудит корпоративной архитектуры и инфраструктуры ИФК «Солид», Fork-Tech, 23:31, 16.09.2025, Россия277
Российский консультант, разработчик и интегратор инновационных ИТ-решений в финтехе Fork-Tech (Форктек) завершил проект по аудиту корпоративной архитектуры и инфраструктуры инвестиционно-финансовой компании «Солид».

Закупки Пулково: цифровизация и новые форматы — в проекте БФТ «ПРО Закупки», БФТ-Холдинг, 23:31, 16.09.2025, Россия286
«ПРО Закупки» — проект Натальи Зейтениди, генерального директора БФТ-Холдинга, о технологиях и новых вызовах закупочной системы.

Безопасность — в приоритете: Nexign и TelecomDaily изучили тренды рынка ПО для маршрутизации сигнального трафика, Nexign, 23:31, 16.09.2025, Россия246
Компания Nexign и агентство TelecomDaily провели опрос среди ведущих мобильных операторов России и СНГ, чтобы выявить ключевые тенденции в выборе и эксплуатации решений для маршрутизации сигнального трафика в сетях 3G/4G/5G.

Устройства ГИГАНТ в Реестре Минпромторга, ГИГАНТ, 23:31, 16.09.2025, Россия246

Продукция ГИГАНТ производится на территории РФ

STEP LOGIC стал авторизированным сервисным центром Positive Technologies, STEP LOGIC, 23:28, 16.09.2025, Россия193

Компания получила статус авторизованного сервисного центра Positive Technologies и право оказывать техническую поддержку заказчикам совместно с вендором.

CNews Analytics: BSS третий год подряд в десятке крупнейших поставщиков ИИ-решений в России, BSS, 23:25, 16.09.2025, Россия187

Компания BSS подтвердила звание одного из крупнейших игроков российского рынка ИИ-решений по версии CNews Analytics. Лидерство BSS обусловлено развитием речевой платформы, инструментария для создания AI-агентов и интеграции GPT-моделей.