Пресс-релизы //

Компания Varonis обнаружила новую уязвимость системы многофакторной аутентификации облачного сервиса Box

Компания Varonis Systems выявила новую уязвимость в системе многофакторной аутентификации (MFA) облачного хранилища Box, использующей дополнительную проверку пользователя при помощи sms-сообщений. Это уже второй способ обхода MFA в Box, обнаруженный за последнее время. Он может быть использован злоумышленниками для кражи и компрометации корпоративных данных. При этом даже не требуется доступ к телефону атакуемого сотрудника.

Большое количество организаций сегодня выбирают именно облачные хранилища. Так, по данным компании Box, ее сервис используют 97 тысяч предприятий, 68% из них входят в список Fortune 500. Для организации доступа к данным они могут воспользоваться MFA, реализуемой при помощи специальных приложений, таких как Okta Verify и Google Authenticator, или sms-сообщений.

Многофакторную аутентификацию, как дополнительный способ защиты пользовательских аккаунтов, используют многие поставщики облачных сервисов. Box, после ввода логина и пароля, предлагает выбрать один из способов прохождения второго этапа аутентификации: при помощи приложения с использованием технологии ТОТР, либо sms-сообщения. При этом сам код отправляется в sms-сообщении только тогда, когда пользователь переходит к форме проверки. В противном случае сообщение не отправляется, однако система аутентификации Box все равно формирует файл cookie, который может быть перехвачен злоумышленником, обладающим украденными адресом электронной почты и паролем.

Получив cookie, злоумышленник может перенаправить процесс MFA на форму, предусматривающую использование ТОТР. При этом система безопасности Box не проверяет, какой именно способ был выбран пользователем при регистрации и не отслеживает, принадлежит ли ему копия приложения, используемого для получения одноразового пароля. Это дает хакерам возможность получить доступ к учетной записи без использования телефона жертвы.

Алгоритм такой атаки можно представить следующим образом:
злоумышленник выбирает вход с помощью MFA через приложение-аутентификатор и сохраняет фактор аутентификации;
на странице account.box.com/login он вводит логин и пароль;
если комбинация окажется правильной, браузер отправляет новый файл cookie для аутентификации и перенаправляет сеанс на страницу /2fa/verification;
злоумышленник вместо перехода на форму проверки sms-кода передает свой собственный фактор аутентификатор и код из приложения, и получает доступ к данным аккаунта. Причем жертве sms-сообщение даже не отправляется.
«Многофакторная аутентификация пользователей сегодня рассматривается многими компаниями как панацея, предотвращающая угрозы безопасности данных. Достаточно вспомнить об обязательном использовании MFA в сервисах Salesforce и MicrosoftВ России, к примеру, перейти на использование MFA активно рекомендуют пользователям портала госуслуг. Однако, надежность такой системы во многом зависит от ее реализации. Многофакторная аутентификация может сформировать ложное ощущение безопасности, но ее использование вовсе не гарантирует, что данные надежно защищены», – говорит Даниэль Гутман, глава Varonis в России.

Специалисты Varonis считают, что использование MFA не исключает необходимости использования подхода, ориентированного на данные, в вопросах обеспечения безопасности информационных систем. В любом случае организации нужно контролировать как использование многофакторной аутентификации в своих сервисах, так и работу с самими данными.

Помимо этого, сотрудники, ответственные за информационную безопасность, должны знать:
к какому объему данных могут получить доступ злоумышленники при компрометации учетной записи;
не раскрываются ли данные компании чрезмерно широкому кругу пользователей и оповестит ли система безопасности администратора, если обнаружит аномальный доступ к ним.
Исследовательская группа компании Varonis ранее обнаружила способ обхода многофакторной аутентификации для учетных записей сервиса Box, использующих приложения-аутентификаторы, такие как Google Authenticator.

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 01:02, 20.01.2022 Количество просмотров: 462
Страна: Россия

«1С-Рарус» расширил возможности коммуникаций и обновил интерфейсы в 1С:CRM, 1С-Рарус, 20:22, 28.03.2026, Россия233

«1С-Рарус» совместно с фирмой «1С» развивает линейку решений 1С:CRM. Новые инструменты помогают компаниям быстрее работать с клиентами, видеть узкие места в продажах и повышать качество коммуникаций. В числе новшеств — улучшенный интерфейс, ИИ-ассистент, обновленная воронка продаж, расширенные возможности АРМ «Монитор руководителя» и «Диалоги».

Space и TERA предложат рынку готовые комплексные решения для импортозамещения критически важных систем, ДАКОМ М, 20:22, 28.03.2026, Россия231

Компания TERA, IT-дистрибьютор, и российский разработчик «ДАКОМ М» (бренд Space) объявляют о заключении партнерского соглашения. В рамках сотрудничества TERA будет продвигать всю линейку продуктов экосистемы виртуализации Space.

Ютрейс Промо: новая инфраструктура промоакций для маркированных товаров на базе ГИС МТ «Честный Знак», Utrace, 20:22, 28.03.2026, Россия231

Ютрейс (Utrace), разработчик ИТ-решений для управления цифровой маркировкой, запускает платформу Ютрейс Промо. Это полноценная инфраструктура для промокампаний в категориях маркированных товаров, использующая данные ГИС МТ «Честный Знак».

Без барьера биометрии: «Выберу.ру» составил рейтинг лучших онлайн-займов в марте 2026 года, Финансовый маркетплейс "Выберу.ру", 20:21, 28.03.2026, Россия237

С 1 марта 2026 года онлайн-займы в микрофинансовых компаниях (МФК) клиентам разрешены только по биометрии. Однако МКК кредитуют без этого ограничения. А «Выберу.ру» изучил параметры онлайн-займов и подготовил рейтинг наиболее выгодных продуктов с максимальным шансом на одобрение. Топ-подборка позволит одолжить с минимальной околонулевой переплатой.

Руководители подразделений Северо-Кавказского филиала ФГУП «УВО Минтранса России» приобщились к историческому наследию донского казачества, Северо-Кавказский филиал ФГУП "УВО Минтранса России", 20:19, 28.03.2026, Россия227

В Ростове-на-Дону в рамках учебно-методических сборов начальники подразделений Северо-Кавказского филиала ведомственной охраны Минтранса России посетили единственный в России центр «Донская Казачья Гвардия». При поддержке профсоюза для них провели экскурсию по уникальной экспозиции, посвященной гвардейским казачьим полкам, которые на протяжении полутора веков охраняли российских императоров.

Рацпредложение сократило время сервисного обслуживания локомотивов, ООО ЛокоТех-Сервис, 20:18, 28.03.2026, Россия259
Рацпредложение сократило время сервисного обслуживания локомотивов

3Logic Group и «Софтлайн» реализовали поставку серверного решения для «Инсека», 3Logic Group, 20:18, 28.03.2026, Россия235

3Logic Group, российский дистрибьютор ИТ-оборудования, совместно с «Софтлайн», поставщиком ИТ-решений и услуг, поставили серверное оборудование для компании «Инсека», специализирующейся на обучении и практической подготовке специалистов по кибербезопасности.

Служба каталога ALD Pro 3.0 сертифицирована по 2 уровню доверия ФСТЭК России, "Группа Астра", 20:12, 28.03.2026, Россия235

«Группа Астра» сообщает о завершении процедуры сертификации очередного обновления 3.0.0с программного комплекса «ALD Pro» (сертификат ФСТЭК России № 4830 от 26 июля 2024 г., переоформлен 9 декабря 2024 г.).

«Энергосбыт Волга» назвала управляющие компании с самыми большими долгами за электричество, ООО "Энергосбыт Волга", 20:07, 28.03.2026, Россия232

Гарантирующий поставщик электроэнергии во Владимирской области «Энергосбыт Волга» опубликовал список крупных должников среди управляющих компаний.

Компания «Новые платформы» подвела итоги 2025 года, Новые платформы, 20:06, 28.03.2026, Россия234

Российский разработчик и производитель радиоэлектронной продукции «Новые платформы» подвел итоги 2025 года. За истекший период компания увеличила штат на 10%. Важно, что в финансовой структуре «Новых платформ» отсутствуют кредиты – компания развивается за счет собственных средств.

Наружная реклама нового тарифа МТС на всесезонном курорте «Волчиха»., Рекламное Агентство IQ, 20:04, 28.03.2026, Россия264
Зимой 2025-2026 года агентство IQ разместило наружную рекламу нового тарифа МТС на всесезонном курорте Волчиха в Свердловской области.

VolgaBlob выходит на рынок Узбекистана, VolgaBlob, 20:04, 28.03.2026, Россия240
Российский разработчик и интегратор VolgaBlob с более чем 20-летним опытом на рынке кибербезопасности объявляет о запуске своей флагманской платформы Smart Monitor на рынке Узбекистана.

Hybrid Metaverse запустил крупнейшую в России рекламную сеть в Minecraft, Hybrid, 20:04, 28.03.2026, Россия237
После блокировки Roblox в России в декабре 2025 года компания Hybrid Metaverse, входящая в AdTech-экосистему Hybrid, перестроила рекламную инфраструктуру и объявила о запуске крупнейшей рекламной сети в Minecraft.

Minervasoft обновила совместный редактор в системе управления знаниями Minerva Knowledge, Minervasoft, 20:03, 28.03.2026, Россия81

Компания Minervasoft расширила функциональность совместного редактирования в базе знаний с ИИ-ассистентом Minerva Knowledge. Новая версия редактора обеспечивает одновременную работу множества пользователей в режиме реального времени, что минимизирует риск возникновения конфликта версий и повышает прозрачность изменений.

Компания ГЕРОФАРМ автоматизирует HR-процессы с помощью Neon HRM, Nexign, 20:02, 28.03.2026, Россия75

Система поможет автоматизировать работу с целеполаганием, обучением, развитием, карьерой и вовлеченностью сотрудников, создать единое инфополе с помощью корпоративного портала, а также позволит HR получать аналитику по основным процессам управления персоналом.