©
P-Reliz.ru - агрегатор пресс-релизов

Varonis предупреждает о возможности обхода многофакторной аутентификации в BOX

Исследовательская группа компании Varonis, одного из новаторов мирового рынка безопасности и аналитики данных, обнаружила способ обхода многофакторной аутентификации для учетных записей Box, использующих приложения-аутентификаторы, такие как Google Authenticator. В ходе исследования было выявлено, что злоумышленник может использовать украденные учетные данные для взлома учетной записи Box и извлекать конфиденциальных данные без предоставления одноразового пароля.

В январе 2021 года компания Box запустила возможность для учетных записей использовать приложения аутентификации на основе TOTP, такие как Google Authenticator, Okta Verify, Authy, Duo. Box рекомендует TOTP вместо аутентификации на основе SMS по очевидным причинам — SMS-сообщения могут быть перехвачены с помощью подмены SIM-карт, мошенничества при выходе из системы и других методов.

Обычно приложения аутентификаторов, которые соответствуют алгоритму TOTP (одноразовый пароль), не только проще в использовании для конечного пользователя, но и намного безопаснее, чем SMS. Когда пользователь добавляет приложение-аутентификатор в свою учетную запись Box, приложению присваивается ID. Каждый раз, когда пользователь пытается войти в систему, Box запрашивает его электронную почту и пароль, а затем одноразовый пароль от приложения-аутентификатора. Если пользователь не предоставит второй фактор, он не сможет получить доступ к файлам и папкам в своей учетной записи Box. Это обеспечивает вторую линию защиты на случай, если у пользователя слабый пароль (или его утечка).

Но как отмечают аналитики Varonis, конечная точка /mfa/unenrollment не требовала полной аутентификации пользователя, чтобы удалить устройство TOTP из учетной записи пользователя. В результате эксперимента получилось исключить пользователя из MFA после предоставления имени пользователя и пароля, но до предоставления второго фактора. После выполнения этого действия исследователи смогли войти в систему без каких-либо требований MFA и получить полный доступ к учетной записи Box пользователя, включая все его файлы и папки. До исправления этой уязвимости со стороны Box злоумышленники могли компрометировать учетные записи пользователей с помощью подстановки учетных данных, методом перебора паролей.

Чтобы минимизировать вероятность появления ошибки аутентификации, Varonis рекомендует делегировать реализацию MFA провайдеру (например, Okta), который специализируется на аутентификации. В дополнение к требованию MFA, Varonis рекомендует использовать SSO, где это возможно; применять политики надежных паролей, отслеживать сайты, такие как HaveIBeenPwnd, на предмет взломанных учетных записей, связанных с вашим доменом. Кроме того, стоит избегать использования проверочных вопросов, предполагающих простые ответы (например, «Укажите девичью фамилию вашей матери»).


О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

P-Reliz.ru - аггрегатор пресс-релизов

Другие пресс-релизы ООО "Информационно-аналитический центр"


Концерн «Радиоэлектронные технологии» и SIMETRA разработают план развития сети ЭЗС в России

Концерн «Радиоэлектронные технологии» (КРЭТ, входит в Госкорпорацию Ростех) и группа компаний SIMETRA разработают план развития федеральной сети электрозаправочных станций (ЭЗС) с учетом потребностей владельцев электротранспорта. Пилотный проект планируется реализовать в Ростове-на-Дону.


Российская компания ЭНКОСТ выходит на рынок Казахстана

Разработчик системы мониторинга загрузки промышленного оборудования ЭНКОСТ выходит на рынок Казахстана. Заказчикам из региона станет доступен флагманский продукт компании «ЭНКОСТ Мониторинг», который позволяет оптимизировать загрузку текущего парка оборудования и предотвращать сбои в его работе.


Система управления доступом RooX UIDM совместима с ОС Astra Linux

Завершены испытания совместимости системы управления доступом RooX UIDM с ОС Astra Linux 1.7. Корректную работу программного стека подтверждает сертификат, выданный «Группой Астра».


Utrace выходит на рынок цифровой маркировки консервной продукции

Utrace, российский разработчик ИТ-решений для управления цифровой маркировкой, заявил о модернизации облачной платформы Utrace HUB под потребности производителей консервной продукции. Теперь поставщики таких продуктов смогут использовать платформу для передачи сведений о кодах маркировки Data Matrix в государственную систему мониторинга “Честный знак” (ГИС МТ).


Минфин Челябинской области и БФТ-Холдинг произвели миграцию информационных систем на отечественное ПО

Министерство финансов Челябинской области совместно с БФТ-Холдингом реализовало проект по переводу информационных систем (ИС) исполнения и планирования бюджета на систему управления базами данных (СУБД) Postgres Pro Certified. Миграция на российское решение, имеющее сертификат ФСТЭК, позволила ведомству полностью исключить из своего ИТ-ландшафта оборудование и программные продукты зарубежных вендоров, сохранив при этом высокое качество обработки данных и удобство работы для конечных пользователей.


Эксперты SIMETRA обосновали оптимальный вариант строительства трассы Джубга-Сочи

Группа компаний SIMETRA, центр компетенций в области моделирования транспортных потоков и транспортного планирования, подготовила обоснование маршрутов для проекта строительства трассы Джубга-Сочи, которая разгрузит существующую федеральную дорогу А-147 и более, чем в три раза сократит время поездки. Эксперты SIMETRA провели полевые работы и комплексное макроэкономическое исследование, чтобы определить оптимальный вариант для строительства новой магистрали.


«Аэродиск» запускает новую линейку СХД ENGINE AQ на платформе «Аквариуса»

Компания «Аэродиск», ведущий российский разработчик и производитель решений в области систем хранения данных и виртуализации, объявляет о запуске новой линейки СХД под названием ENGINE AQ. Линейка будет реализована на базе аппаратной платформы компании «Аквариус».