Разработчики: | Box (ранее Box.net) |
Дата последнего релиза: | 2022/01/18 |
Отрасли: | Интернет-сервисы |
Технологии: | SaaS - Программное обеспечение как услуга, СХД |
Содержание |
Основные статьи:
2022: Обнаружение уязвимости системы многофакторной аутентификации сервиса
18 января 2022 года компания Varonis Systems сообщила, что выявила уязвимость в системе многофакторной аутентификации (MFA) облачного хранилища Box, использующей дополнительную проверку пользователя при помощи sms-сообщений. Это уже второй способ обхода MFA в Box, обнаруженный за последнее время. Он может быть использован злоумышленниками для кражи и компрометации корпоративных данных. При этом даже не требуется доступ к телефону атакуемого сотрудника.
Большое количество организаций выбирают именно облачные хранилища. Так, по данным компании Box, ее сервис используют 97 тысяч предприятий, 68% из них входят в список Fortune 500. Для организации доступа к данным они могут воспользоваться MFA, реализуемой при помощи специальных приложений, таких как Okta Verify и Google Authenticator, или sms-сообщений.
Многофакторную аутентификацию, как дополнительный способ защиты пользовательских аккаунтов, используют многие поставщики облачных сервисов. Box, после ввода логина и пароля, предлагает выбрать один из способов прохождения второго этапа аутентификации: при помощи приложения с использованием технологии ТОТР, либо sms-сообщения. При этом сам код отправляется в sms-сообщении только тогда, когда пользователь переходит к форме проверки. В противном случае сообщение не отправляется, однако система аутентификации Box все равно формирует файл cookie, который может быть перехвачен злоумышленником, обладающим украденными адресом электронной почты и паролем.TAdviser Security 100: Крупнейшие ИБ-компании в России
Получив cookie, злоумышленник может перенаправить процесс MFA на форму, предусматривающую использование ТОТР. При этом система безопасности Box не проверяет, какой именно способ был выбран пользователем при регистрации и не отслеживает, принадлежит ли ему копия приложения, используемого для получения одноразового пароля. Это дает хакерам возможность получить доступ к учетной записи без использования телефона жертвы.
Алгоритм такой атаки можно представить следующим образом:
- злоумышленник выбирает вход с помощью MFA через приложение-аутентификатор и сохраняет фактор аутентификации;
- на странице account.box.com/login он вводит логин и пароль;
- если комбинация окажется правильной, браузер отправляет новый файл cookie для аутентификации и перенаправляет сеанс на страницу /2fa/verification;
- злоумышленник вместо перехода на форму проверки sms-кода передает свой собственный фактор аутентификатор и код из приложения, и получает доступ к данным аккаунта. Причем жертве sms-сообщение даже не отправляется.
«Многофакторная аутентификация пользователей рассматривается многими компаниями как панацея, предотвращающая угрозы безопасности данных. Достаточно вспомнить об обязательном использовании MFA в сервисах Salesforce и Microsoft в России, к примеру, перейти на использование MFA рекомендуют пользователям портала госуслуг. Однако, надежность такой системы во многом зависит от ее реализации. Многофакторная аутентификация может сформировать ложное ощущение безопасности, но ее использование вовсе не гарантирует, что данные достаточно защищены», – |
Специалисты Varonis считают, что использование MFA не исключает необходимости использования подхода, ориентированного на данные, в вопросах обеспечения безопасности информационных систем. В любом случае организации нужно контролировать как использование многофакторной аутентификации в своих сервисах, так и работу с самими данными.
Помимо этого, сотрудники, ответственные за информационную безопасность, должны знать:
- к какому объему данных могут получить доступ злоумышленники при компрометации учетной записи;
- не раскрываются ли данные компании чрезмерно широкому кругу пользователей и оповестит ли система безопасности администратора, если обнаружит аномальный доступ к ним.
Исследовательская группа компании Varonis ранее обнаружила способ обхода многофакторной аутентификации для учетных записей сервиса Box, использующих приложения-аутентификаторы, такие как Google Authenticator.
2014: Снятие лимитов на место для хранения информации для подписчиков Business
Провайдер облачного сервиса Box снял в июле 2014 года лимиты на место для хранения информации всем компаниям, подписанным на план «Business», находящийся на одну ступень ниже Enterprise.
Box предлагает неограниченное пространство хранения для клиентов Enterprise с 2010 года (в последнее время цена на эту подписку стартует с $35 за пользователя в месяц). До сих пор в плане Busines было ограничение 1000 гигабайт, а цена на подписку составляла $15 за пользователя в месяц. Теперь для всех нынешних и будущих клиентов плана Business предлагается неограниченное место для хранения.
2013
Сервис Box, с которым можно работать из браузеров и мобильных приложений для всех основных платформ, предназначен для предприятий любых размеров. По информации на 2013 год в Box собираются расширить и усовершенствовать имеющиеся в нем средства совместной работы над документами.
2012: Возможности сервиса
На ноябрь 2012 года сервис предлагал следующие возможности:
- Бесплатное хранение: 5 ГБ
- Дополнительное пространство: Личная учетная запись, 25 ГБ за 9.99 долларов в месяц; 50 ГБ за 19.99 долларов в месяц. Бизнес-версия: 15 долларов с пользователя в месяц, от 3 до пятисот пользователей; 1 ТБ, общий доступ с парольной защитой, управлением доступом и правами пользователей. Корпоративная учетная запись: индивидуальная тарификация, неограниченное пространство, потребительский брэндинг и инструменты управления групповым доступом.
- Дополнительная информация: предлагает шифрование по стандартам SSL и AES 256-бит и брандмауэр. В бизнес-версиях, и корпоративных учетных записях файлы шифруются методом автоматической избыточности. Максимальный размер файла: 100 МБ в бесплатных учетных записях, 1 ГБ в платных личных учетных записях; в бизнес-версиях — файлы размером 2 ГБ. Box позволяет редактировать документы в облаке с помощью сторонних приложений, типа Zoho.
Подрядчики-лидеры по количеству проектов
ВидеоМост (VideoMost) (1767)
Elma (Элма, Интеллект Лаб, Практика БПМ) (1643)
TrueConf (Труконф) (1594)
Террасофт (Terrasoft, ТС-Консалтинг) (1147)
Directum (Директум) (733)
Другие (8648)
Elma (Элма, Интеллект Лаб, Практика БПМ) (244)
Террасофт (Terrasoft, ТС-Консалтинг) (186)
ВидеоМост (VideoMost) (181)
Directum (Директум) (110)
QuickBPM (83)
Другие (759)
Elma (Элма, Интеллект Лаб, Практика БПМ) (230)
ВидеоМост (VideoMost) (101)
Directum (Директум) (80)
1С-Рарус (30)
Projecto (Проджекто) (26)
Другие (562)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С Акционерное общество (35, 2831)
ВидеоМост (VideoMost) (3, 1818)
Elma (Элма, Интеллект Лаб, Практика БПМ) (4, 1768)
TrueConf (Труконф) (3, 1609)
Creatio (12, 1238)
Другие (1938, 7464)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 327)
Directum (Директум) (2, 233)
Creatio (1, 200)
ВидеоМост (VideoMost) (2, 183)
1С Акционерное общество (13, 146)
Другие (152, 488)
Directum (Директум) (2, 236)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 233)
ВидеоМост (VideoMost) (1, 102)
1С Акционерное общество (9, 99)
Projecto (Проджекто) (1, 26)
Другие (94, 330)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 180)
Directum (Директум) (1, 146)
1С Акционерное общество (12, 89)
Naumen (Наумен консалтинг) (5, 22)
1С-Битрикс (1, 21)
Другие (81, 265)
Directum (Директум) (1, 237)
1С Акционерное общество (8, 60)
1С-Битрикс (1, 18)
Naumen (Наумен консалтинг) (3, 16)
БизнесАвтоматика НПЦ (5, 12)
Другие (66, 162)
Распределение систем по количеству проектов, не включая партнерские решения
ВидеоМост (VideoMost) ВКС - 1817
TrueConf Server - 1593
ELMA BPM Suite - 1431
Directum RX - 1112
Creatio (ранее bpm’online) - 944
Другие 8511
ELMA BPM Suite - 241
Directum RX - 233
Creatio (ранее bpm’online) - 200
ВидеоМост (VideoMost) ВКС - 182
1С:ERP Управление предприятием 2 - 114
Другие 570
Directum RX - 236
ELMA BPM Suite - 151
ВидеоМост (VideoMost) ВКС - 102
ELMA365 - 83
1С:ERP Управление предприятием 2 - 68
Другие 362
ELMA365 - 161
Directum RX - 146
1С:ERP Управление предприятием 2 - 54
ELMA BPM Suite - 22
1С-Битрикс24 - 21
Другие 299
Подрядчики-лидеры по количеству проектов
Рэйдикс (Raidix) (35)
ITglobal.com (ИТглобалком Рус) (35)
R-Style Softlab (Эр-Стайл Софтлаб) (27)
BeringPro (БерингПойнт) ранее BearingPoint Russia (26)
Сапран (Saprun) (22)
Другие (546)
Сапиенс солюшнс (Sapiens solutions) (7)
ITglobal.com (ИТглобалком Рус) (6)
Aerodisk (Аеро Диск) (4)
Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (3)
BeringPro (БерингПойнт) ранее BearingPoint Russia (3)
Другие (30)
ActiveCloud by Softline (АктивХост РУ) (1)
Aerodisk (Аеро Диск) (1)
Hewlett Packard Enterprise (HPE) (1)
ITglobal.com (ИТглобалком Рус) (1)
Аквариус (Aquarius) (1)
Другие (8)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
SAP SE (1, 103)
NetApp (25, 66)
Рэйдикс (Raidix) (19, 52)
IBM (30, 43)
Dell EMC (68, 32)
Другие (705, 344)
SAP SE (1, 8)
NetApp (5, 7)
Aerodisk (Аеро Диск) (5, 6)
Lenovo Data Center Group (1, 6)
Lenovo (1, 6)
Другие (18, 19)
Aerodisk (Аеро Диск) (3, 2)
Ростелеком (1, 1)
ActiveCloud by Softline (АктивХост РУ) (1, 1)
Dell EMC (1, 1)
Lenovo (1, 1)
Другие (7, 7)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
Arenadata (Аренадата Софтвер) (1, 1)
Lenovo (1, 1)
ВымпелКом ПАО (1, 1)
КНС Групп (Yadro) (1, 1)
Другие (3, 3)
Platformcraft (Платформкрафт) (2, 2)
Рэйдикс (Raidix) (1, 2)
КНС Групп (Yadro) (1, 2)
Aerodisk (Аеро Диск) (1, 1)
Nextcloud GmbH (1, 1)
Другие (4, 4)
Распределение систем по количеству проектов, не включая партнерские решения
SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 103
Raidix СХД - 47
NetApp FASx - 45
RS-DataHouse - 24
Lenovo ThinkSystem - 17
Другие 354
SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 8
Lenovo ThinkSystem - 6
IBM FlashSystem - 3
NetApp FASx - 3
Аэродиск Восток СХД - 3
Другие 23
Аэродиск Восток СХД - 1
ActiveStorage (ранее Active S3) - 1
SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 1
NetApp FASx - 1
Lenovo ThinkSystem - 1
Другие 7