Box Облачный сервис хранения и обмена файлами

Продукт
Разработчики: Box (ранее Box.net)
Дата последнего релиза: 2022/01/18
Отрасли: Интернет-сервисы
Технологии: SaaS - Программное обеспечение как услуга,  СХД

Содержание

Основные статьи:

2022: Обнаружение уязвимости системы многофакторной аутентификации сервиса

18 января 2022 года компания Varonis Systems сообщила, что выявила уязвимость в системе многофакторной аутентификации (MFA) облачного хранилища Box, использующей дополнительную проверку пользователя при помощи sms-сообщений. Это уже второй способ обхода MFA в Box, обнаруженный за последнее время. Он может быть использован злоумышленниками для кражи и компрометации корпоративных данных. При этом даже не требуется доступ к телефону атакуемого сотрудника.

Большое количество организаций выбирают именно облачные хранилища. Так, по данным компании Box, ее сервис используют 97 тысяч предприятий, 68% из них входят в список Fortune 500. Для организации доступа к данным они могут воспользоваться MFA, реализуемой при помощи специальных приложений, таких как Okta Verify и Google Authenticator, или sms-сообщений.

Многофакторную аутентификацию, как дополнительный способ защиты пользовательских аккаунтов, используют многие поставщики облачных сервисов. Box, после ввода логина и пароля, предлагает выбрать один из способов прохождения второго этапа аутентификации: при помощи приложения с использованием технологии ТОТР, либо sms-сообщения. При этом сам код отправляется в sms-сообщении только тогда, когда пользователь переходит к форме проверки. В противном случае сообщение не отправляется, однако система аутентификации Box все равно формирует файл cookie, который может быть перехвачен злоумышленником, обладающим украденными адресом электронной почты и паролем.

Получив cookie, злоумышленник может перенаправить процесс MFA на форму, предусматривающую использование ТОТР. При этом система безопасности Box не проверяет, какой именно способ был выбран пользователем при регистрации и не отслеживает, принадлежит ли ему копия приложения, используемого для получения одноразового пароля. Это дает хакерам возможность получить доступ к учетной записи без использования телефона жертвы.

Алгоритм такой атаки можно представить следующим образом:

  • злоумышленник выбирает вход с помощью MFA через приложение-аутентификатор и сохраняет фактор аутентификации;
  • на странице account.box.com/login он вводит логин и пароль;
  • если комбинация окажется правильной, браузер отправляет новый файл cookie для аутентификации и перенаправляет сеанс на страницу /2fa/verification;
  • злоумышленник вместо перехода на форму проверки sms-кода передает свой собственный фактор аутентификатор и код из приложения, и получает доступ к данным аккаунта. Причем жертве sms-сообщение даже не отправляется.

«
«Многофакторная аутентификация пользователей рассматривается многими компаниями как панацея, предотвращающая угрозы безопасности данных. Достаточно вспомнить об обязательном использовании MFA в сервисах Salesforce и Microsoft в России, к примеру, перейти на использование MFA рекомендуют пользователям портала госуслуг. Однако, надежность такой системы во многом зависит от ее реализации. Многофакторная аутентификация может сформировать ложное ощущение безопасности, но ее использование вовсе не гарантирует, что данные достаточно защищены», –

говорит Даниэль Гутман, глава Varonis в России.
»

Специалисты Varonis считают, что использование MFA не исключает необходимости использования подхода, ориентированного на данные, в вопросах обеспечения безопасности информационных систем. В любом случае организации нужно контролировать как использование многофакторной аутентификации в своих сервисах, так и работу с самими данными.

Помимо этого, сотрудники, ответственные за информационную безопасность, должны знать:

  • к какому объему данных могут получить доступ злоумышленники при компрометации учетной записи;
  • не раскрываются ли данные компании чрезмерно широкому кругу пользователей и оповестит ли система безопасности администратора, если обнаружит аномальный доступ к ним.

Исследовательская группа компании Varonis ранее обнаружила способ обхода многофакторной аутентификации для учетных записей сервиса Box, использующих приложения-аутентификаторы, такие как Google Authenticator.

2014: Снятие лимитов на место для хранения информации для подписчиков Business

Провайдер облачного сервиса Box снял в июле 2014 года лимиты на место для хранения информации всем компаниям, подписанным на план «Business», находящийся на одну ступень ниже Enterprise.

Box предлагает неограниченное пространство хранения для клиентов Enterprise с 2010 года (в последнее время цена на эту подписку стартует с $35 за пользователя в месяц). До сих пор в плане Busines было ограничение 1000 гигабайт, а цена на подписку составляла $15 за пользователя в месяц. Теперь для всех нынешних и будущих клиентов плана Business предлагается неограниченное место для хранения.

2013

Сервис Box, с которым можно работать из браузеров и мобильных приложений для всех основных платформ, предназначен для предприятий любых размеров. По информации на 2013 год в Box собираются расширить и усовершенствовать имеющиеся в нем средства совместной работы над документами.

2012: Возможности сервиса

На ноябрь 2012 года сервис предлагал следующие возможности:

  • Бесплатное хранение: 5 ГБ

  • Дополнительное пространство: Личная учетная запись, 25 ГБ за 9.99 долларов в месяц; 50 ГБ за 19.99 долларов в месяц. Бизнес-версия: 15 долларов с пользователя в месяц, от 3 до пятисот пользователей; 1 ТБ, общий доступ с парольной защитой, управлением доступом и правами пользователей. Корпоративная учетная запись: индивидуальная тарификация, неограниченное пространство, потребительский брэндинг и инструменты управления групповым доступом.

  • Дополнительная информация: предлагает шифрование по стандартам SSL и AES 256-бит и брандмауэр. В бизнес-версиях, и корпоративных учетных записях файлы шифруются методом автоматической избыточности. Максимальный размер файла: 100 МБ в бесплатных учетных записях, 1 ГБ в платных личных учетных записях; в бизнес-версиях — файлы размером 2 ГБ. Box позволяет редактировать документы в облаке с помощью сторонних приложений, типа Zoho.



СМ. ТАКЖЕ (9)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ВидеоМост (VideoMost) (1767)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (1643)
  TrueConf (Труконф) (1593)
  Террасофт (Terrasoft, ТС-Консалтинг) (1147)
  Directum (Директум) (606)
  Другие (8595)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (244)
  Террасофт (Terrasoft, ТС-Консалтинг) (186)
  ВидеоМост (VideoMost) (181)
  Directum (Директум) (110)
  QuickBPM (83)
  Другие (759)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (230)
  ВидеоМост (VideoMost) (101)
  Directum (Директум) (80)
  1С-Рарус (30)
  Projecto (Проджекто) (26)
  Другие (561)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (179)
  Directum (Директум) (84)
  Первый Бит (22)
  Naumen (Наумен консалтинг) (22)
  Адванта Консалтинг (Advanta) (20)
  Другие (394)

  Directum (Директум) (111)
  Первый Бит (14)
  БизнесАвтоматика НПЦ (12)
  Naumen (Наумен консалтинг) (11)
  B2B-Center (Центр развития экономики) (10)
  Другие (177)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С Акционерное общество (35, 2813)
  ВидеоМост (VideoMost) (3, 1818)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (4, 1766)
  TrueConf (Труконф) (3, 1609)
  Creatio (12, 1238)
  Другие (1932, 7342)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 327)
  Directum (Директум) (2, 233)
  Creatio (1, 200)
  ВидеоМост (VideoMost) (2, 183)
  1С Акционерное общество (13, 145)
  Другие (154, 503)

  Directum (Директум) (2, 236)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 233)
  ВидеоМост (VideoMost) (1, 102)
  1С Акционерное общество (9, 98)
  Projecto (Проджекто) (1, 26)
  Другие (95, 340)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 180)
  Directum (Директум) (1, 147)
  1С Акционерное общество (12, 86)
  Naumen (Наумен консалтинг) (5, 22)
  1С-Битрикс (1, 21)
  Другие (80, 260)

  Directum (Директум) (1, 119)
  1С Акционерное общество (7, 47)
  1С-Битрикс (1, 17)
  Naumen (Наумен консалтинг) (3, 14)
  БизнесАвтоматика НПЦ (5, 12)
  Другие (60, 138)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ВидеоМост (VideoMost) ВКС - 1818 (1817, 1)
  ELMA BPM Suite - 1770 (1431, 339)
  1С:Предприятие 8.3 - 1660 (205, 1455)
  TrueConf Server - 1609 (1593, 16)
  Creatio (ранее bpm’online) - 1238 (944, 294)
  Другие 4506

  ELMA BPM Suite - 327 (241, 86)
  Directum RX - 233 (233, 0)
  Creatio (ранее bpm’online) - 200 (200, 0)
  ВидеоМост (VideoMost) ВКС - 183 (182, 1)
  1С:Предприятие 8.3 - 137 (4, 133)
  Другие 222

  Directum RX - 236 (236, 0)
  ELMA BPM Suite - 234 (151, 83)
  ВидеоМост (VideoMost) ВКС - 102 (102, 0)
  1С:Предприятие 8.3 - 93 (4, 89)
  Projecto - 26 (26, 0)
  Другие 121

  ELMA BPM Suite - 183 (22, 161)
  Directum RX - 147 (147, 0)
  1С:Предприятие 8.3 - 76 (3, 73)
  1С-Битрикс24 - 21 (21, 0)
  Advanta (Адванта) - система управления проектами - 20 (20, 0)
  Другие -9

  Directum RX - 119 (119, 0)
  1С:Предприятие 8.3 - 43 (3, 40)
  1С-Битрикс24 - 17 (17, 0)
  HRlink Система электронного кадрового документооборота - 10 (10, 0)
  B2B-Center: Мои поставщики - 10 (10, 0)
  Другие 82

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ITglobal.com (ИТглобалком Рус) (35)
  Рэйдикс (Raidix) (35)
  R-Style Softlab (Эр-Стайл Софтлаб) (27)
  BeringPro (БерингПойнт) ранее BearingPoint Russia (26)
  Сапран (Saprun) (22)
  Другие (540)

  Сапиенс солюшнс (Sapiens solutions) (7)
  ITglobal.com (ИТглобалком Рус) (6)
  Aerodisk (Аеро Диск) (4)
  Lenovo Россия (3)
  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (3)
  Другие (30)

  КНС Групп (Yadro) (1)
  КРИТ (KRIT) (1)
  Кортис (1)
  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (1)
  Ростелеком (1)
  Другие (8)

  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (3)
  Кортис (1)
  Кортис Технологии (1)
  Линс (Lins) (1)
  РТК Цифровые Технологии, РТК ЦТ (ранее РТК Информационные Технологии, РТК ИТ) (1)
  Другие (6)

  Platformcraft (Платформкрафт) (2)
  КНС Групп (Yadro) (2)
  RSi (Эр-Эс-Ай) (1)
  X-Com (Икс ком) (1)
  Гринатом (Greenatom) (1)
  Другие (6)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  SAP SE (1, 103)
  NetApp (25, 66)
  Рэйдикс (Raidix) (19, 51)
  IBM (30, 43)
  Dell EMC (68, 32)
  Другие (702, 344)

  SAP SE (1, 8)
  NetApp (5, 7)
  Aerodisk (Аеро Диск) (5, 6)
  Lenovo (1, 6)
  Lenovo Data Center Group (1, 6)
  Другие (18, 19)

  Aerodisk (Аеро Диск) (3, 2)
  SAP SE (1, 1)
  КНС Групп (Yadro) (1, 1)
  Hewlett Packard Enterprise (HPE) (1, 1)
  Lenovo Data Center Group (1, 1)
  Другие (7, 7)

  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
  Cloud4Y (ООО Флекс) (1, 1)
  Lenovo Data Center Group (1, 1)
  Шаркс Датацентр (Sharx DC) (1, 1)
  Arenadata (Аренадата Софтвер) (1, 1)
  Другие (3, 3)

  Platformcraft (Платформкрафт) (2, 2)
  КНС Групп (Yadro) (1, 2)
  ReShield (Найс) (1, 1)
  Synology (SLMP PTE) (1, 1)
  Рэйдикс (Raidix) (1, 1)
  Другие (4, 4)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 103 (103, 0)
  Raidix СХД - 46 (46, 0)
  NetApp FASx - 45 (45, 0)
  RS-DataHouse - 27 (24, 3)
  Lenovo ThinkSystem - 17 (17, 0)
  Другие 299

  SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 8 (8, 0)
  Lenovo ThinkSystem - 6 (6, 0)
  Аэродиск Восток СХД - 3 (3, 0)
  IBM FlashSystem - 3 (3, 0)
  NetApp FASx - 3 (3, 0)
  Другие 19

  Aerodisk vAIR - 1 (1, 0)
  ActiveStorage (ранее Active S3) - 1 (1, 0)
  Аэродиск Восток СХД - 1 (1, 0)
  SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 1 (1, 0)
  HPE Apollo 4000 Серверы - 1 (1, 0)
  Другие 6

  Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3 (3, 0)
  Cloudike - 1 (0, 1)
  Lenovo ThinkSystem - 1 (1, 0)
  EDP - Arenadata Enterprise Data Platform - 1 (1, 0)
  SharxBase - 1 (1, 0)
  Другие 0

  TATLIN семейство систем хранения данных - 2 (2, 0)
  Aerodisk vAIR - 1 (1, 0)
  SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 1 (1, 0)
  Raidix СХД - 1 (1, 0)
  Nextcloud Files - 1 (1, 0)
  Другие 4