Box Облачный сервис хранения и обмена файлами

Продукт
Разработчики: Box (ранее Box.net)
Дата последнего релиза: 2022/01/18
Отрасли: Интернет-сервисы
Технологии: SaaS - Программное обеспечение как услуга,  СХД

Содержание

Основные статьи:

2022: Обнаружение уязвимости системы многофакторной аутентификации сервиса

18 января 2022 года компания Varonis Systems сообщила, что выявила уязвимость в системе многофакторной аутентификации (MFA) облачного хранилища Box, использующей дополнительную проверку пользователя при помощи sms-сообщений. Это уже второй способ обхода MFA в Box, обнаруженный за последнее время. Он может быть использован злоумышленниками для кражи и компрометации корпоративных данных. При этом даже не требуется доступ к телефону атакуемого сотрудника.

Большое количество организаций выбирают именно облачные хранилища. Так, по данным компании Box, ее сервис используют 97 тысяч предприятий, 68% из них входят в список Fortune 500. Для организации доступа к данным они могут воспользоваться MFA, реализуемой при помощи специальных приложений, таких как Okta Verify и Google Authenticator, или sms-сообщений.

Многофакторную аутентификацию, как дополнительный способ защиты пользовательских аккаунтов, используют многие поставщики облачных сервисов. Box, после ввода логина и пароля, предлагает выбрать один из способов прохождения второго этапа аутентификации: при помощи приложения с использованием технологии ТОТР, либо sms-сообщения. При этом сам код отправляется в sms-сообщении только тогда, когда пользователь переходит к форме проверки. В противном случае сообщение не отправляется, однако система аутентификации Box все равно формирует файл cookie, который может быть перехвачен злоумышленником, обладающим украденными адресом электронной почты и паролем.Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft 2.1 т

Получив cookie, злоумышленник может перенаправить процесс MFA на форму, предусматривающую использование ТОТР. При этом система безопасности Box не проверяет, какой именно способ был выбран пользователем при регистрации и не отслеживает, принадлежит ли ему копия приложения, используемого для получения одноразового пароля. Это дает хакерам возможность получить доступ к учетной записи без использования телефона жертвы.

Алгоритм такой атаки можно представить следующим образом:

  • злоумышленник выбирает вход с помощью MFA через приложение-аутентификатор и сохраняет фактор аутентификации;
  • на странице account.box.com/login он вводит логин и пароль;
  • если комбинация окажется правильной, браузер отправляет новый файл cookie для аутентификации и перенаправляет сеанс на страницу /2fa/verification;
  • злоумышленник вместо перехода на форму проверки sms-кода передает свой собственный фактор аутентификатор и код из приложения, и получает доступ к данным аккаунта. Причем жертве sms-сообщение даже не отправляется.

«
«Многофакторная аутентификация пользователей рассматривается многими компаниями как панацея, предотвращающая угрозы безопасности данных. Достаточно вспомнить об обязательном использовании MFA в сервисах Salesforce и Microsoft в России, к примеру, перейти на использование MFA рекомендуют пользователям портала госуслуг. Однако, надежность такой системы во многом зависит от ее реализации. Многофакторная аутентификация может сформировать ложное ощущение безопасности, но ее использование вовсе не гарантирует, что данные достаточно защищены», –

говорит Даниэль Гутман, глава Varonis в России.
»

Специалисты Varonis считают, что использование MFA не исключает необходимости использования подхода, ориентированного на данные, в вопросах обеспечения безопасности информационных систем. В любом случае организации нужно контролировать как использование многофакторной аутентификации в своих сервисах, так и работу с самими данными.

Помимо этого, сотрудники, ответственные за информационную безопасность, должны знать:

  • к какому объему данных могут получить доступ злоумышленники при компрометации учетной записи;
  • не раскрываются ли данные компании чрезмерно широкому кругу пользователей и оповестит ли система безопасности администратора, если обнаружит аномальный доступ к ним.

Исследовательская группа компании Varonis ранее обнаружила способ обхода многофакторной аутентификации для учетных записей сервиса Box, использующих приложения-аутентификаторы, такие как Google Authenticator.

2014: Снятие лимитов на место для хранения информации для подписчиков Business

Провайдер облачного сервиса Box снял в июле 2014 года лимиты на место для хранения информации всем компаниям, подписанным на план «Business», находящийся на одну ступень ниже Enterprise.

Box предлагает неограниченное пространство хранения для клиентов Enterprise с 2010 года (в последнее время цена на эту подписку стартует с $35 за пользователя в месяц). До сих пор в плане Busines было ограничение 1000 гигабайт, а цена на подписку составляла $15 за пользователя в месяц. Теперь для всех нынешних и будущих клиентов плана Business предлагается неограниченное место для хранения.

2013

Сервис Box, с которым можно работать из браузеров и мобильных приложений для всех основных платформ, предназначен для предприятий любых размеров. По информации на 2013 год в Box собираются расширить и усовершенствовать имеющиеся в нем средства совместной работы над документами.

2012: Возможности сервиса

На ноябрь 2012 года сервис предлагал следующие возможности:

  • Бесплатное хранение: 5 ГБ

  • Дополнительное пространство: Личная учетная запись, 25 ГБ за 9.99 долларов в месяц; 50 ГБ за 19.99 долларов в месяц. Бизнес-версия: 15 долларов с пользователя в месяц, от 3 до пятисот пользователей; 1 ТБ, общий доступ с парольной защитой, управлением доступом и правами пользователей. Корпоративная учетная запись: индивидуальная тарификация, неограниченное пространство, потребительский брэндинг и инструменты управления групповым доступом.

  • Дополнительная информация: предлагает шифрование по стандартам SSL и AES 256-бит и брандмауэр. В бизнес-версиях, и корпоративных учетных записях файлы шифруются методом автоматической избыточности. Максимальный размер файла: 100 МБ в бесплатных учетных записях, 1 ГБ в платных личных учетных записях; в бизнес-версиях — файлы размером 2 ГБ. Box позволяет редактировать документы в облаке с помощью сторонних приложений, типа Zoho.



СМ. ТАКЖЕ (9)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ВидеоМост (VideoMost) (1767)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (1643)
  TrueConf (Труконф) (1593)
  Террасофт (Terrasoft, ТС-Консалтинг) (1147)
  Directum (Директум) (606)
  Другие (8591)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (244)
  Террасофт (Terrasoft, ТС-Консалтинг) (186)
  ВидеоМост (VideoMost) (181)
  Directum (Директум) (110)
  QuickBPM (83)
  Другие (759)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (230)
  ВидеоМост (VideoMost) (101)
  Directum (Директум) (80)
  1С-Рарус (30)
  Projecto (Проджекто) (26)
  Другие (561)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (179)
  Directum (Директум) (84)
  Naumen (Наумен консалтинг) (22)
  Первый Бит (22)
  Адванта Консалтинг (Advanta) (20)
  Другие (394)

  Directum (Директум) (111)
  Первый Бит (14)
  БизнесАвтоматика НПЦ (12)
  Naumen (Наумен консалтинг) (11)
  B2B-Center (Центр развития экономики) (10)
  Другие (174)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С Акционерное общество (35, 2812)
  ВидеоМост (VideoMost) (3, 1818)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (4, 1766)
  TrueConf (Труконф) (3, 1609)
  Creatio (12, 1238)
  Другие (1931, 7339)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 327)
  Directum (Директум) (2, 233)
  Creatio (1, 200)
  ВидеоМост (VideoMost) (2, 183)
  1С Акционерное общество (13, 145)
  Другие (154, 503)

  Directum (Директум) (2, 236)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 233)
  ВидеоМост (VideoMost) (1, 102)
  1С Акционерное общество (9, 98)
  Projecto (Проджекто) (1, 26)
  Другие (95, 340)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 180)
  Directum (Директум) (1, 147)
  1С Акционерное общество (12, 86)
  Naumen (Наумен консалтинг) (5, 22)
  1С-Битрикс (1, 21)
  Другие (80, 260)

  Directum (Директум) (1, 119)
  1С Акционерное общество (7, 46)
  1С-Битрикс (1, 17)
  Naumen (Наумен консалтинг) (3, 14)
  БизнесАвтоматика НПЦ (5, 12)
  Другие (60, 136)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ВидеоМост (VideoMost) ВКС - 1817
  TrueConf Server - 1593
  ELMA BPM Suite - 1431
  Directum RX - 987
  Creatio (ранее bpm’online) - 944
  Другие 8457

  ELMA BPM Suite - 241
  Directum RX - 233
  Creatio (ранее bpm’online) - 200
  ВидеоМост (VideoMost) ВКС - 182
  1С:ERP Управление предприятием 2 - 113
  Другие 571

  Directum RX - 236
  ELMA BPM Suite - 151
  ВидеоМост (VideoMost) ВКС - 102
  ELMA365 - 83
  1С:ERP Управление предприятием 2 - 68
  Другие 361

  ELMA365 - 161
  Directum RX - 147
  1С:ERP Управление предприятием 2 - 52
  ELMA BPM Suite - 22
  1С-Битрикс24 - 21
  Другие 295

  Directum RX - 119
  1С:ERP Управление предприятием 2 - 31
  1С-Битрикс24 - 17
  B2B-Center: Мои поставщики - 10
  HRlink Система электронного кадрового документооборота - 9
  Другие 148

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Рэйдикс (Raidix) (35)
  ITglobal.com (ИТглобалком Рус) (35)
  R-Style Softlab (Эр-Стайл Софтлаб) (27)
  BeringPro (БерингПойнт) ранее BearingPoint Russia (26)
  Сапран (Saprun) (22)
  Другие (539)

  Сапиенс солюшнс (Sapiens solutions) (7)
  ITglobal.com (ИТглобалком Рус) (6)
  Aerodisk (Аеро Диск) (4)
  Lenovo Россия (3)
  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (3)
  Другие (30)

  ITglobal.com (ИТглобалком Рус) (1)
  Аквариус (Aquarius) (1)
  КНС Групп (Yadro) (1)
  КРИТ (KRIT) (1)
  Кортис (1)
  Другие (8)

  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (3)
  Cloud4Y (ООО Флекс) (1)
  Mind Software (Майнд Софт) (1)
  Кортис (1)
  Кортис Технологии (1)
  Другие (6)

  Platformcraft (Платформкрафт) (2)
  КНС Групп (Yadro) (2)
  Lenovo (1)
  RSi (Эр-Эс-Ай) (1)
  X-Com (Икс ком) (1)
  Другие (5)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  SAP SE (1, 102)
  NetApp (25, 66)
  Рэйдикс (Raidix) (19, 51)
  IBM (30, 43)
  Dell EMC (68, 32)
  Другие (702, 344)

  SAP SE (1, 8)
  NetApp (5, 7)
  Aerodisk (Аеро Диск) (5, 6)
  Lenovo (1, 6)
  Lenovo Data Center Group (1, 6)
  Другие (18, 19)

  Aerodisk (Аеро Диск) (3, 2)
  Lenovo (1, 1)
  Microsoft (1, 1)
  SAP SE (1, 1)
  КНС Групп (Yadro) (1, 1)
  Другие (7, 7)

  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
  ВымпелКом ПАО (1, 1)
  КНС Групп (Yadro) (1, 1)
  Cloud4Y (ООО Флекс) (1, 1)
  Lenovo Data Center Group (1, 1)
  Другие (3, 3)

  Platformcraft (Платформкрафт) (2, 2)
  КНС Групп (Yadro) (1, 2)
  ReShield (Найс) (1, 1)
  NetApp (1, 1)
  Synology (SLMP PTE) (1, 1)
  Другие (3, 3)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 102
  Raidix СХД - 46
  NetApp FASx - 45
  RS-DataHouse - 24
  Lenovo ThinkSystem - 17
  Другие 354

  SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 8
  Lenovo ThinkSystem - 6
  Аэродиск Восток СХД - 3
  IBM FlashSystem - 3
  NetApp FASx - 3
  Другие 23

  HPE Apollo 4000 Серверы - 1
  Microsoft Azure Data Lake - 1
  Aerodisk vAIR - 1
  ActiveStorage (ранее Active S3) - 1
  Аэродиск Восток СХД - 1
  Другие 7

  Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3
  Lenovo ThinkSystem - 1
  Cloud4Y СХД - 1
  TATLIN семейство систем хранения данных - 1
  EDP - Arenadata Enterprise Data Platform - 1
  Другие 2

  TATLIN семейство систем хранения данных - 2
  Platformcraft: Облачное хранилище для бизнеса - 1
  Nextcloud Files - 1
  Aerodisk vAIR - 1
  ReShield Terra NX-серия СХД - 1
  Другие 4