Пресс-релизы //

Компания Varonis обнаружила новую уязвимость системы многофакторной аутентификации облачного сервиса Box

Компания Varonis Systems выявила новую уязвимость в системе многофакторной аутентификации (MFA) облачного хранилища Box, использующей дополнительную проверку пользователя при помощи sms-сообщений. Это уже второй способ обхода MFA в Box, обнаруженный за последнее время. Он может быть использован злоумышленниками для кражи и компрометации корпоративных данных. При этом даже не требуется доступ к телефону атакуемого сотрудника.

Большое количество организаций сегодня выбирают именно облачные хранилища. Так, по данным компании Box, ее сервис используют 97 тысяч предприятий, 68% из них входят в список Fortune 500. Для организации доступа к данным они могут воспользоваться MFA, реализуемой при помощи специальных приложений, таких как Okta Verify и Google Authenticator, или sms-сообщений.

Многофакторную аутентификацию, как дополнительный способ защиты пользовательских аккаунтов, используют многие поставщики облачных сервисов. Box, после ввода логина и пароля, предлагает выбрать один из способов прохождения второго этапа аутентификации: при помощи приложения с использованием технологии ТОТР, либо sms-сообщения. При этом сам код отправляется в sms-сообщении только тогда, когда пользователь переходит к форме проверки. В противном случае сообщение не отправляется, однако система аутентификации Box все равно формирует файл cookie, который может быть перехвачен злоумышленником, обладающим украденными адресом электронной почты и паролем.

Получив cookie, злоумышленник может перенаправить процесс MFA на форму, предусматривающую использование ТОТР. При этом система безопасности Box не проверяет, какой именно способ был выбран пользователем при регистрации и не отслеживает, принадлежит ли ему копия приложения, используемого для получения одноразового пароля. Это дает хакерам возможность получить доступ к учетной записи без использования телефона жертвы.

Алгоритм такой атаки можно представить следующим образом:
злоумышленник выбирает вход с помощью MFA через приложение-аутентификатор и сохраняет фактор аутентификации;
на странице account.box.com/login он вводит логин и пароль;
если комбинация окажется правильной, браузер отправляет новый файл cookie для аутентификации и перенаправляет сеанс на страницу /2fa/verification;
злоумышленник вместо перехода на форму проверки sms-кода передает свой собственный фактор аутентификатор и код из приложения, и получает доступ к данным аккаунта. Причем жертве sms-сообщение даже не отправляется.
«Многофакторная аутентификация пользователей сегодня рассматривается многими компаниями как панацея, предотвращающая угрозы безопасности данных. Достаточно вспомнить об обязательном использовании MFA в сервисах Salesforce и MicrosoftВ России, к примеру, перейти на использование MFA активно рекомендуют пользователям портала госуслуг. Однако, надежность такой системы во многом зависит от ее реализации. Многофакторная аутентификация может сформировать ложное ощущение безопасности, но ее использование вовсе не гарантирует, что данные надежно защищены», – говорит Даниэль Гутман, глава Varonis в России.

Специалисты Varonis считают, что использование MFA не исключает необходимости использования подхода, ориентированного на данные, в вопросах обеспечения безопасности информационных систем. В любом случае организации нужно контролировать как использование многофакторной аутентификации в своих сервисах, так и работу с самими данными.

Помимо этого, сотрудники, ответственные за информационную безопасность, должны знать:
к какому объему данных могут получить доступ злоумышленники при компрометации учетной записи;
не раскрываются ли данные компании чрезмерно широкому кругу пользователей и оповестит ли система безопасности администратора, если обнаружит аномальный доступ к ним.
Исследовательская группа компании Varonis ранее обнаружила способ обхода многофакторной аутентификации для учетных записей сервиса Box, использующих приложения-аутентификаторы, такие как Google Authenticator.

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 01:02, 20.01.2022 Количество просмотров: 453
Страна: Россия

«Телфин» подвел итоги 2025 года: спрос на омниканальные решения связи растет на 40% в год, Телфин, 22:11, 04.02.2026, Россия55

Провайдер коммуникационных сервисов «Телфин» увеличил продажи комплексных решений связи на 40%. Спрос на омниканальные сервисы в корпоративном сегменте продолжает расти уже второй год подряд.

«1С-Рарус» — в топ-3 рейтинга TAdviser по цифровизации HoReCa, 1С-Рарус, 22:31, 04.02.2026, Россия141

«1С-Рарус» занимает лидирующие позиции в рейтинге TAdviser по цифровизации HoReCa. Компания предлагает индустрии гостеприимства и питания специализированные решения на платформе 1С, способствуя оптимизации процессов в условиях высокой конкуренции и регуляторных вызовов.

Илона Киреёнок, UDV Group: Компании хотят не просто укрепить защиту, но и сократить время восстановления после атак, UDV Group, 22:30, 04.02.2026, Россия144

За последний год российский рынок информационной безопасности заметно изменился: выросла сложность атак, сместился фокус злоумышленников, а требования бизнеса к ИБ стали более прагматичными.

В компании «УралЭнергоРесурс» начала работу собственная лаборатория неразрушающего контроля, УралЭнергоРесурс, 22:21, 04.02.2026, Россия141

В компании «УралЭнергоРесурс» начала работу собственная лаборатория неразрушающего контроля (ЛНК). Этот шаг стал важным этапом в стратегии развития производственной системы и повышения качества выпускаемой продукции.

ГК «Ренна» внедрила «Дельта BI» для глубинной аналитики данных, Дельта BI, 22:33, 04.02.2026, Россия137

Группа компаний «Ренна» завершила внедрение системы бизнес-аналитики «Дельта BI». Решение позволило полностью избавиться от ручного труда при консолидации данных, сократить время подготовки регулярной отчетности, а также получить инструмент для поддержки принятия управленческих решений.

«1С ПРО Консалтинг» автоматизировал учет номинальных счетов для Seller Capital, 1С ПРО Консалтинг, 22:33, 04.02.2026, Россия143
«1С ПРО Консалтинг» автоматизировал полный цикл операций по номинальным счетам для Seller Capital (МКК «Селлер Капитал», “дочка” ПАО МФК “Займер”).

Стартовал конкурс ИТ-проектов Directum Awards 2026, Directum, 22:22, 04.02.2026, Россия146

16-й ежегодный конкурс лучших проектов и решений на базе продуктов Directum набирает обороты. Прием заявок открыт.

«1С-Рарус» автоматизировал производство строительного холдинга «Брусника», 1С-Рарус, 22:15, 04.02.2026, Россия154

«1С-Рарус Екатеринбург» (ранее «ЕРП ЦЕНТР») автоматизировал планирование, обеспечение, диспетчирование производственных процессов и управленческого учета промышленных предприятий ГК «Брусника». С помощью отраслевой системы разработки «1С-Рарус» - «1C:ERP Управление строительной организацией» – удалось сократить ручной труд, повысить точность планирования, а также вдвое ускорить документооборот и формирование отчетности.

Два проекта Navicon победили в конкурсе «Проект года-2025» от Global CIO, Navicon, 23:35, 31.01.2026, Россия555

Два проекта Navicon признаны лучшими в конкурсе, который проводит сообщество ИТ-директоров России Global CIO. В номинации «Управление данными как активом» победил проект внедрения системы Arenadata Harmony MDM в Трубной Металлургической Компании (ТМК).

Обновлённое мобильное приложение «Мой Энергосбыт Волга» доступно в магазинах приложений, Компания "Энергосбыт Волга", 23:33, 31.01.2026, Россия542

Компания «Энергосбыт Волга» обновила мобильное приложение для клиентов – физических лиц Владимирской области. Онлайн-сервис уже доступен для скачивания в магазинах приложений AppStore, Rustore и Huawei.

«1С‑Рарус» получил 6 наград на конкурсе «Проект года» Global CIO, 1С‑Рарус, 23:33, 31.01.2026, Россия499

Проекты «1С-Рарус» получили признание профессионального сообщества лидеров цифровой трансформации Global CIO. В число заказчиков-победителей конкурса «Проект года-2025» вошли: Центр управления транспортом РЖД, Ижевский радиозавод, «Полиметалл», «Брусника», «БЛАГО», ТЦ «Восток».

Финансовый аудит в один клик: бесплатные инструменты для собственников, ГК "Юнайт", 23:32, 31.01.2026, Россия532

Владельцы компаний получили доступ к серии бесплатных финансовых сервисов для быстрой проверки бизнеса. Теперь провести аудит отчетности, оценить стоимость компании или подготовиться к кредиту можно самостоятельно, не привлекая дорогостоящих консультантов.

«БИАТЕХ» - новое название BIA Technologies, "БИАТЕХ", 23:32, 31.01.2026, Россия483

Интегратор и вендор ИТ-решений завершил ребрендинг. Изменения затронули как визуальный стиль, так и бренд компании - теперь она будет работать как «БИАТЕХ».

ГИГАНТ: исследование АПК и ритейла, ГИГАНТ, 23:29, 31.01.2026, Россия491

Владимир Кудряшов, директор сервисного департамента компании «ГИГАНТ Компьютерные системы» дал интервью Comnews и прокомментировал, с чем связан рост ИТ-бюджетов в АПК и ритейле в 2025 г. и продолжится ли он в 2026 г.

Компания Repact выпустила обновленную версию робота-помощника инженера ПТО, Repact, 23:29, 31.01.2026, Россия150

Команда Repact, разработчик RPA-решений для бизнеса, провела масштабное обновление флагманского продукта — робота-помощника инженера ПТО. Сервис переходит к полноценной платформенной модели: появился личный кабинет, расширенные инструменты контроля и механизмы полной автономности.