ATREX.RU
Пресс релизы коммерческих компаний и общественных организаций

» Архив пресс-релизов

» Авторам от редакции

» Добавить пресс-релиз

20IT технологии «

Антивирусы «

7Промышленность и производство «

8Банки «

2Культура, искусство «

7Образование, учеба «

Природа, окружающая среда «

2Наука «

1Медицина «

Фармацевтика «

Спорт «

Реклама, PR «

Договора, соглашения «

5Логистика, транспорт «

Благотворительность «

Скидки «

2Прочие события «

Другие статьи «

Комментарии специалистов «

1Недвижимость «

1Аналитика «

Самое-самое //

Пресс-релизы //

» Добавить пресс-релиз

Varonis предупреждает о возможности обхода многофакторной аутентификации в BOX

Исследовательская группа компании Varonis, одного из новаторов мирового рынка безопасности и аналитики данных, обнаружила способ обхода многофакторной аутентификации для учетных записей Box, использующих приложения-аутентификаторы, такие как Google Authenticator. В ходе исследования было выявлено, что злоумышленник может использовать украденные учетные данные для взлома учетной записи Box и извлекать конфиденциальных данные без предоставления одноразового пароля.

В январе 2021 года компания Box запустила возможность для учетных записей использовать приложения аутентификации на основе TOTP, такие как Google Authenticator, Okta Verify, Authy, Duo. Box рекомендует TOTP вместо аутентификации на основе SMS по очевидным причинам — SMS-сообщения могут быть перехвачены с помощью подмены SIM-карт, мошенничества при выходе из системы и других методов.

Обычно приложения аутентификаторов, которые соответствуют алгоритму TOTP (одноразовый пароль), не только проще в использовании для конечного пользователя, но и намного безопаснее, чем SMS. Когда пользователь добавляет приложение-аутентификатор в свою учетную запись Box, приложению присваивается ID. Каждый раз, когда пользователь пытается войти в систему, Box запрашивает его электронную почту и пароль, а затем одноразовый пароль от приложения-аутентификатора. Если пользователь не предоставит второй фактор, он не сможет получить доступ к файлам и папкам в своей учетной записи Box. Это обеспечивает вторую линию защиты на случай, если у пользователя слабый пароль (или его утечка).

Но как отмечают аналитики Varonis, конечная точка /mfa/unenrollment не требовала полной аутентификации пользователя, чтобы удалить устройство TOTP из учетной записи пользователя. В результате эксперимента получилось исключить пользователя из MFA после предоставления имени пользователя и пароля, но до предоставления второго фактора. После выполнения этого действия исследователи смогли войти в систему без каких-либо требований MFA и получить полный доступ к учетной записи Box пользователя, включая все его файлы и папки. До исправления этой уязвимости со стороны Box злоумышленники могли компрометировать учетные записи пользователей с помощью подстановки учетных данных, методом перебора паролей.

Чтобы минимизировать вероятность появления ошибки аутентификации, Varonis рекомендует делегировать реализацию MFA провайдеру (например, Okta), который специализируется на аутентификации. В дополнение к требованию MFA, Varonis рекомендует использовать SSO, где это возможно; применять политики надежных паролей, отслеживать сайты, такие как HaveIBeenPwnd, на предмет взломанных учетных записей, связанных с вашим доменом. Кроме того, стоит избегать использования проверочных вопросов, предполагающих простые ответы (например, «Укажите девичью фамилию вашей матери»).

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева (написать письмо автору)
Компания: Varonis (все новости этой организации)
Добавлен: 17:53, 15.12.2021
Количество просмотров: 442
Страна: Россия

СФР начинает приём ЕФС-1 через Единую централизованную цифровую платформу, Такском, 22:25, 03.07.2025, Россия

С 1 июля 2025 года Фонд пенсионного и социального страхования РФ (СФР) переходит на приём отчётов по форме ЕФС-1 через Единую централизованную цифровую платформу (ГИС ЕЦП). Компания «Такском» переведёт сервисы для отправки отчётов ЕФС-1 на новый портал с 21 июля 2025 года

Linx Cloud вошел в топ-10 провайдеров в рейтинге IaaS Enterprise, Linx, 22:23, 03.07.2025, Россия	87
Linx Cloud занял 7-е место в рейтинге провайдеров IaaS Enterprise 2025, составленным Market.CNews. В прошлом году компания была на 18-м месте. Таким образом, Linx Cloud за год поднялся в рейтинге на 11 пунктов.

Цифровая крепость: Бастион провел ребрендинг, Бастион, 16:06, 03.07.2025, Россия

Компания по информационной безопасности «Бастион» провела ребрендинг. В обновленную айдентику вошли логотип и фирменный стиль, отражающие ключевые ценности бренда: надежность, экспертность и высокотехнологичность. Новый визуальный код подчеркивает глубину и точность экспертизы, приобретенной за годы существования компании.

DLBI: мошенники атакуют рынок труда – шесть новых схем за два месяца, Data Leakage & Breach Intelligence, 16:00, 03.07.2025,	102
Российский сервис разведки уязвимостей и утечек данных DLBI провел исследование новых мошеннических схем, применяемых против пользователей Рунета во втором квартале этого года.

Российский производитель решений по автоматизации телефонии «Агат-РТ» переводит свои ключевые продукты на операционную систему Astra Linux Embedded, "Группа Астра", 15:56, 03.07.2025, Россия

110

Использование защищенной отечественной ОС расширяет возможности применения оборудования в государственных учреждениях, силовых структурах, финансовых, коммерческих и других организациях с высокими требованиями к защите данных.

Сергей Мозжеров назначен директором по продукту In.Plan, Axenix, 15:46, 03.07.2025, Россия	72
Консалтинговая компания Axenix объявила о назначении Сергея Мозжерова директором по продукту (CPO) платформы интегрированного бизнес-планирования In.Plan. Ранее он занимал позицию технического директора.

КДЦ «Магнетика» внедрил телемедицинский сервис от N3.Health для онлайн-консультаций, Нетрика, 15:46, 03.07.2025, Россия	67
Екатеринбургский Консультативно-диагностический центр «Магнетика» запустил сервис телемедицинских консультаций на базе платформы N3.Health в рамках экосистемы цифровых сервисов для пациента MILA.

«СберЛогистика» сократила трудозатраты на 20% благодаря модулю Start Link, HRlink, 15:46, 03.07.2025, Россия

Федеральный логистический оператор «СберЛогистика» добился 20% экономии рабочего времени рекрутеров, кадровых специалистов и бухгалтерии после внедрения модуля дистанционного приема на работу Start Link (входит в экосистему кадрового ЭДО HRlink).

«1С:Книжный магазин» получил сертификат «1С:Совместимо», 1С-Рарус, 15:45, 03.07.2025, Россия

Программный продукт разработки «1С-Рарус» для книготорговли прошел очередную сертификацию фирмы «1С». Полученный сертификат «Совместимо! Система программ 1С:Предприятие» гарантирует пользователям корректную работу «1С:Розница 8. Книжный магазин» с другими решениями 1С.

«ПРОТЕЙ ТЛ» и Aurus: объединение решений для записи и анализа корпоративных коммуникаций, Aurus, 15:41, 03.07.2025,

Компании объявили о стратегическом партнерстве в области записи, анализа и автоматизации сервисов связи. Интеграция ПО Aurus в линейку продуктов «ПРОТЕЙ ТЛ» позволит заказчикам получить передовые решения для записи и анализа корпоративных коммуникаций.