Пресс-релизы //

Компания Varonis обнаружила новую уязвимость системы многофакторной аутентификации облачного сервиса Box

Компания Varonis Systems выявила новую уязвимость в системе многофакторной аутентификации (MFA) облачного хранилища Box, использующей дополнительную проверку пользователя при помощи sms-сообщений. Это уже второй способ обхода MFA в Box, обнаруженный за последнее время. Он может быть использован злоумышленниками для кражи и компрометации корпоративных данных. При этом даже не требуется доступ к телефону атакуемого сотрудника.

Большое количество организаций сегодня выбирают именно облачные хранилища. Так, по данным компании Box, ее сервис используют 97 тысяч предприятий, 68% из них входят в список Fortune 500. Для организации доступа к данным они могут воспользоваться MFA, реализуемой при помощи специальных приложений, таких как Okta Verify и Google Authenticator, или sms-сообщений.

Многофакторную аутентификацию, как дополнительный способ защиты пользовательских аккаунтов, используют многие поставщики облачных сервисов. Box, после ввода логина и пароля, предлагает выбрать один из способов прохождения второго этапа аутентификации: при помощи приложения с использованием технологии ТОТР, либо sms-сообщения. При этом сам код отправляется в sms-сообщении только тогда, когда пользователь переходит к форме проверки. В противном случае сообщение не отправляется, однако система аутентификации Box все равно формирует файл cookie, который может быть перехвачен злоумышленником, обладающим украденными адресом электронной почты и паролем.

Получив cookie, злоумышленник может перенаправить процесс MFA на форму, предусматривающую использование ТОТР. При этом система безопасности Box не проверяет, какой именно способ был выбран пользователем при регистрации и не отслеживает, принадлежит ли ему копия приложения, используемого для получения одноразового пароля. Это дает хакерам возможность получить доступ к учетной записи без использования телефона жертвы.

Алгоритм такой атаки можно представить следующим образом:
злоумышленник выбирает вход с помощью MFA через приложение-аутентификатор и сохраняет фактор аутентификации;
на странице account.box.com/login он вводит логин и пароль;
если комбинация окажется правильной, браузер отправляет новый файл cookie для аутентификации и перенаправляет сеанс на страницу /2fa/verification;
злоумышленник вместо перехода на форму проверки sms-кода передает свой собственный фактор аутентификатор и код из приложения, и получает доступ к данным аккаунта. Причем жертве sms-сообщение даже не отправляется.
«Многофакторная аутентификация пользователей сегодня рассматривается многими компаниями как панацея, предотвращающая угрозы безопасности данных. Достаточно вспомнить об обязательном использовании MFA в сервисах Salesforce и MicrosoftВ России, к примеру, перейти на использование MFA активно рекомендуют пользователям портала госуслуг. Однако, надежность такой системы во многом зависит от ее реализации. Многофакторная аутентификация может сформировать ложное ощущение безопасности, но ее использование вовсе не гарантирует, что данные надежно защищены», – говорит Даниэль Гутман, глава Varonis в России.

Специалисты Varonis считают, что использование MFA не исключает необходимости использования подхода, ориентированного на данные, в вопросах обеспечения безопасности информационных систем. В любом случае организации нужно контролировать как использование многофакторной аутентификации в своих сервисах, так и работу с самими данными.

Помимо этого, сотрудники, ответственные за информационную безопасность, должны знать:
к какому объему данных могут получить доступ злоумышленники при компрометации учетной записи;
не раскрываются ли данные компании чрезмерно широкому кругу пользователей и оповестит ли система безопасности администратора, если обнаружит аномальный доступ к ним.
Исследовательская группа компании Varonis ранее обнаружила способ обхода многофакторной аутентификации для учетных записей сервиса Box, использующих приложения-аутентификаторы, такие как Google Authenticator.

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 01:02, 20.01.2022 Количество просмотров: 441
Страна: Россия

Linx Cloud и ALPE Consulting представили сервис для работы с архивными данными SAP, Linx, 22:34, 28.12.2025, Россия107

Провайдер облачных решений для бизнеса Linx Cloud и компания ALPE Consulting, которая специализируется на автоматизации бизнеса и внедрении ERP систем, запускают новый сервис, позволяющий переносить архивные данные из SAP в защищенное облако

«НЕКСТБИ»: российский рынок систем process mining в 2026 году превысит 2 млрд рублей, Некстби, 22:33, 28.12.2025, Россия113
По данным исследования Сбера и «Технологий Доверия», в 2024 году российский рынок систем process mining увеличился до 900 млн рублей и будет ежегодно расти на 69% до 2028 года.

DатаРу перестроила партнерскую программу для усиления позиций ее участников на рынке, ДатаРу, 22:33, 28.12.2025, Россия104

Российский вендор технологических решений и сервисов группа компаний DатаРу запускает новую программу для партнеров. Обновленные условия нацелены на индивидуальную работу с лидерами ИТ-рынка, включают персональную поддержку и расширенные возможности для участников.

Компания АО «Национальное бюро информатизации» внедрила систему управления сбытом электроэнергии ЕMAS.TRADE для АО «Концерн Росэнергоатом», Акционерное общество "Национальное бюро информатизации", 22:33, 28.12.2025, Россия106

Решение на базе платформы EMAS.TRADE введено в промышленную эксплуатацию и используется в процессах работы на оптовом рынке электроэнергии и мощности (ОРЭМ). Проект реализован в рамках государственной программы импортозамещения и обеспечил технологическую независимость от зарубежного программного обеспечения.

«Гравитон» и «Интегра-С» реализовали проект видеонаблюдения на автодорогах общего пользования для ГК «Автодор», Гравитон, 22:29, 28.12.2025, Россия110

Компания «Гравитон» совместно с технологическим партнером «Интегра-С» успешно реализовали проект по поставке оборудования для системы интеллектуального видеонаблюдения транспортной безопасности на автодорогах общего пользования по заказу государственной компании «Автодор».

Hisense подвела итоги 2025 года, Hisense, 22:28, 28.12.2025, Россия112
Новейшие технологии, признание экспертов, социальные проекты

«Россети» усилили схему электроснабжения на западе Подмосковья, Филиал ПАО «Россети» - МЭС Центра, 15:30, 26.12.2025, Россия258
Завершилась реконструкция подстанции 220 кВ, расположенной вблизи Рузы. На питающем центре установили современное российское оборудование.

ИИ-ассистент «1С ПРО Консалтинг» помог сети «Конкор Оптика» увеличить выручку на 25%, 1С ПРО Консалтинг, 22:27, 28.12.2025, Россия113
Торговая сеть «Конкор Оптика» использовала ИИ-помощника для 1С «ПРОсковья» для повышения объема продаж сети. Компания оптимизировала процесс планирования складских запасов.

Российский рынок SIEM: облако, интеграции и расширенная аналитика задают тон, VolgaBlob, 22:25, 28.12.2025, Россия109

В VolgaBlob оценили российский рынок систем управления информационной безопасностью и событиями безопасности (SIEM) за 2025 год. Аналитики компании считают, что он увеличился примерно на 18-20%, и эта динамика сохранится в 2026 году.

Россияне на 35% активнее искали подработки перед Новым годом, Verme, 22:24, 28.12.2025, Россия106

В первой половине декабря россияне активнее искали подработки, в том числе через специализированные онлайн-платформы. Одновременно работодатели стали предлагать больше вакансий с частичной или временной занятостью.

Axenix помогает APR повысить эффективность управления цепочками поставок, Axenix, 22:24, 28.12.2025, Россия112
Консалтинговая технологическая компания Axenix завершила комплексный проект по оценке управления цепочками поставок (SCM) для компании APR, одного из лидеров российского рынка дистрибуции автозапчастей.

«Хи-Квадрат» подтвердила совместимость платформы XSQUARE с процессором Loongson 3A6000, Хи-Квадрат, 22:24, 28.12.2025, Россия108
Компания «Хи-Квадрат» подтвердила совместимость платформы для быстрой разработки приложений XSQUARE с оборудованием на базе китайского восьмиядерного процессора Loongson 3A6000 архитектуры LoongArch.

БФТ-Холдинг завершил внедрение Единого хранилища документов для «Ростелекома», БФТ-Холдинг, 22:24, 28.12.2025, Россия104

Завершён масштабный проект по импортозамещению Единого хранилища документов (ЕХД) «Ростелекома»: внедрению корпоративной платформы нового поколения, разработанной на базе решения «БФТ.Хранилище электронных документов» (БФТ.ХЭД).

Kraftway и PROF-IT GROUP создадут комплексные решения под 1С:ERP, PROF-IT GROUP, 22:20, 28.12.2025, Россия112

Компании Kraftway, один из крупнейших отечественных разработчиков и производителей вычислительной техники, и PROF-IT GROUP, российский цифровой промышленный интегратор, объявили о технологическом партнерстве и запуске комплексных решений для рынка промышленного ИТ.

Astra Linux 1.8.4: расширенная виртуализация, усиленная безопасность и удобное администрирование, Группа Астра, 22:18, 28.12.2025, Россия50

«Группа Астра», ведущий российский разработчик инфраструктурного ПО, представила обновленную версию своего флагманского продукта —операционной системы Astra Linux 1.8.4. Релиз сфокусирован на повышении удобства администрирования корпоративных инфраструктур, усилении безопасности и расширении возможностей виртуализации.