Разработчики: | Box (ранее Box.net) |
Дата последнего релиза: | 2022/01/18 |
Отрасли: | Интернет-сервисы |
Технологии: | SaaS - Программное обеспечение как услуга, СХД |
Содержание |
Основные статьи:
2022: Обнаружение уязвимости системы многофакторной аутентификации сервиса
18 января 2022 года компания Varonis Systems сообщила, что выявила уязвимость в системе многофакторной аутентификации (MFA) облачного хранилища Box, использующей дополнительную проверку пользователя при помощи sms-сообщений. Это уже второй способ обхода MFA в Box, обнаруженный за последнее время. Он может быть использован злоумышленниками для кражи и компрометации корпоративных данных. При этом даже не требуется доступ к телефону атакуемого сотрудника.
Большое количество организаций выбирают именно облачные хранилища. Так, по данным компании Box, ее сервис используют 97 тысяч предприятий, 68% из них входят в список Fortune 500. Для организации доступа к данным они могут воспользоваться MFA, реализуемой при помощи специальных приложений, таких как Okta Verify и Google Authenticator, или sms-сообщений.
Многофакторную аутентификацию, как дополнительный способ защиты пользовательских аккаунтов, используют многие поставщики облачных сервисов. Box, после ввода логина и пароля, предлагает выбрать один из способов прохождения второго этапа аутентификации: при помощи приложения с использованием технологии ТОТР, либо sms-сообщения. При этом сам код отправляется в sms-сообщении только тогда, когда пользователь переходит к форме проверки. В противном случае сообщение не отправляется, однако система аутентификации Box все равно формирует файл cookie, который может быть перехвачен злоумышленником, обладающим украденными адресом электронной почты и паролем.
Получив cookie, злоумышленник может перенаправить процесс MFA на форму, предусматривающую использование ТОТР. При этом система безопасности Box не проверяет, какой именно способ был выбран пользователем при регистрации и не отслеживает, принадлежит ли ему копия приложения, используемого для получения одноразового пароля. Это дает хакерам возможность получить доступ к учетной записи без использования телефона жертвы.
Алгоритм такой атаки можно представить следующим образом:
- злоумышленник выбирает вход с помощью MFA через приложение-аутентификатор и сохраняет фактор аутентификации;
- на странице account.box.com/login он вводит логин и пароль;
- если комбинация окажется правильной, браузер отправляет новый файл cookie для аутентификации и перенаправляет сеанс на страницу /2fa/verification;
- злоумышленник вместо перехода на форму проверки sms-кода передает свой собственный фактор аутентификатор и код из приложения, и получает доступ к данным аккаунта. Причем жертве sms-сообщение даже не отправляется.
«Многофакторная аутентификация пользователей рассматривается многими компаниями как панацея, предотвращающая угрозы безопасности данных. Достаточно вспомнить об обязательном использовании MFA в сервисах Salesforce и Microsoft в России, к примеру, перейти на использование MFA рекомендуют пользователям портала госуслуг. Однако, надежность такой системы во многом зависит от ее реализации. Многофакторная аутентификация может сформировать ложное ощущение безопасности, но ее использование вовсе не гарантирует, что данные достаточно защищены», – |
Специалисты Varonis считают, что использование MFA не исключает необходимости использования подхода, ориентированного на данные, в вопросах обеспечения безопасности информационных систем. В любом случае организации нужно контролировать как использование многофакторной аутентификации в своих сервисах, так и работу с самими данными.
Помимо этого, сотрудники, ответственные за информационную безопасность, должны знать:
- к какому объему данных могут получить доступ злоумышленники при компрометации учетной записи;
- не раскрываются ли данные компании чрезмерно широкому кругу пользователей и оповестит ли система безопасности администратора, если обнаружит аномальный доступ к ним.
Исследовательская группа компании Varonis ранее обнаружила способ обхода многофакторной аутентификации для учетных записей сервиса Box, использующих приложения-аутентификаторы, такие как Google Authenticator.
2014: Снятие лимитов на место для хранения информации для подписчиков Business
Провайдер облачного сервиса Box снял в июле 2014 года лимиты на место для хранения информации всем компаниям, подписанным на план «Business», находящийся на одну ступень ниже Enterprise.
Box предлагает неограниченное пространство хранения для клиентов Enterprise с 2010 года (в последнее время цена на эту подписку стартует с $35 за пользователя в месяц). До сих пор в плане Busines было ограничение 1000 гигабайт, а цена на подписку составляла $15 за пользователя в месяц. Теперь для всех нынешних и будущих клиентов плана Business предлагается неограниченное место для хранения.
2013
Сервис Box, с которым можно работать из браузеров и мобильных приложений для всех основных платформ, предназначен для предприятий любых размеров. По информации на 2013 год в Box собираются расширить и усовершенствовать имеющиеся в нем средства совместной работы над документами.
2012: Возможности сервиса
На ноябрь 2012 года сервис предлагал следующие возможности:
- Бесплатное хранение: 5 ГБ
- Дополнительное пространство: Личная учетная запись, 25 ГБ за 9.99 долларов в месяц; 50 ГБ за 19.99 долларов в месяц. Бизнес-версия: 15 долларов с пользователя в месяц, от 3 до пятисот пользователей; 1 ТБ, общий доступ с парольной защитой, управлением доступом и правами пользователей. Корпоративная учетная запись: индивидуальная тарификация, неограниченное пространство, потребительский брэндинг и инструменты управления групповым доступом.
- Дополнительная информация: предлагает шифрование по стандартам SSL и AES 256-бит и брандмауэр. В бизнес-версиях, и корпоративных учетных записях файлы шифруются методом автоматической избыточности. Максимальный размер файла: 100 МБ в бесплатных учетных записях, 1 ГБ в платных личных учетных записях; в бизнес-версиях — файлы размером 2 ГБ. Box позволяет редактировать документы в облаке с помощью сторонних приложений, типа Zoho.
Подрядчики-лидеры по количеству проектов
ВидеоМост (VideoMost) (1767)
Elma (Элма, Интеллект Лаб, Практика БПМ) (1643)
TrueConf (Труконф) (1594)
Террасофт (Terrasoft, ТС-Консалтинг) (1147)
Directum (Директум) (733)
Другие (8649)
Elma (Элма, Интеллект Лаб, Практика БПМ) (244)
Террасофт (Terrasoft, ТС-Консалтинг) (186)
ВидеоМост (VideoMost) (181)
Directum (Директум) (110)
QuickBPM (83)
Другие (759)
Elma (Элма, Интеллект Лаб, Практика БПМ) (230)
ВидеоМост (VideoMost) (101)
Directum (Директум) (80)
1С-Рарус (30)
Projecto (Проджекто) (26)
Другие (562)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С Акционерное общество (35, 2831)
ВидеоМост (VideoMost) (3, 1818)
Elma (Элма, Интеллект Лаб, Практика БПМ) (4, 1768)
TrueConf (Труконф) (3, 1610)
Creatio (12, 1238)
Другие (1939, 7474)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 327)
Directum (Директум) (2, 233)
Creatio (1, 200)
ВидеоМост (VideoMost) (2, 183)
1С Акционерное общество (13, 146)
Другие (153, 489)
Directum (Директум) (2, 236)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 233)
ВидеоМост (VideoMost) (1, 102)
1С Акционерное общество (9, 99)
Projecto (Проджекто) (1, 26)
Другие (94, 330)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 180)
Directum (Директум) (1, 146)
1С Акционерное общество (12, 89)
Naumen (Наумен консалтинг) (5, 22)
1С-Битрикс (1, 21)
Другие (81, 265)
Directum (Директум) (1, 237)
1С Акционерное общество (8, 60)
1С-Битрикс (1, 18)
Naumen (Наумен консалтинг) (3, 16)
БизнесАвтоматика НПЦ (5, 12)
Другие (66, 164)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
ВидеоМост (VideoMost) ВКС - 1818 (1817, 1)
ELMA BPM Suite - 1772 (1431, 341)
1С:Предприятие 8.3 - 1676 (205, 1471)
TrueConf Server - 1610 (1594, 16)
Creatio (ранее bpm’online) - 1238 (944, 294)
Другие 4644
ELMA BPM Suite - 327 (241, 86)
Directum RX - 233 (233, 0)
Creatio (ранее bpm’online) - 200 (200, 0)
ВидеоМост (VideoMost) ВКС - 183 (182, 1)
1С:Предприятие 8.3 - 138 (4, 134)
Другие 220
Directum RX - 236 (236, 0)
ELMA BPM Suite - 234 (151, 83)
ВидеоМост (VideoMost) ВКС - 102 (102, 0)
1С:Предприятие 8.3 - 94 (4, 90)
Projecto - 26 (26, 0)
Другие 120
ELMA BPM Suite - 183 (22, 161)
Directum RX - 146 (146, 0)
1С:Предприятие 8.3 - 79 (3, 76)
1С-Битрикс24 - 21 (21, 0)
Advanta (Адванта) - система управления проектами - 20 (20, 0)
Другие -10
Directum RX - 237 (237, 0)
1С:Предприятие 8.3 - 54 (3, 51)
1С-Битрикс24 - 18 (18, 0)
HRlink Система электронного кадрового документооборота - 12 (12, 0)
B2B-Center: Мои поставщики - 12 (12, 0)
Другие 89
Подрядчики-лидеры по количеству проектов
Рэйдикс (Raidix) (35)
ITglobal.com (ИТглобалком Рус) (35)
R-Style Softlab (Эр-Стайл Софтлаб) (27)
BeringPro (БерингПойнт) ранее BearingPoint Russia (26)
Сапран (Saprun) (22)
Другие (546)
Сапиенс солюшнс (Sapiens solutions) (7)
ITglobal.com (ИТглобалком Рус) (6)
Aerodisk (Аеро Диск) (4)
Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (3)
BeringPro (БерингПойнт) ранее BearingPoint Russia (3)
Другие (30)
Aerodisk (Аеро Диск) (1)
Hewlett Packard Enterprise (HPE) (1)
ITglobal.com (ИТглобалком Рус) (1)
Аквариус (Aquarius) (1)
КНС Групп (Yadro) (1)
Другие (8)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
SAP SE (1, 103)
NetApp (25, 66)
Рэйдикс (Raidix) (19, 52)
IBM (30, 43)
Dell EMC (68, 32)
Другие (705, 352)
SAP SE (1, 8)
NetApp (5, 7)
Aerodisk (Аеро Диск) (5, 6)
Lenovo (1, 6)
Lenovo Data Center Group (1, 6)
Другие (18, 19)
Aerodisk (Аеро Диск) (3, 2)
ActiveCloud by Softline (АктивХост РУ) (1, 1)
Dell EMC (1, 1)
Lenovo (1, 1)
Microsoft (1, 1)
Другие (7, 7)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
Arenadata (Аренадата Софтвер) (1, 1)
Lenovo (1, 1)
TData (ТДата) (1, 1)
Ростелеком (1, 1)
Другие (5, 5)
Platformcraft (Платформкрафт) (2, 2)
КНС Групп (Yadro) (1, 2)
Рэйдикс (Raidix) (1, 2)
TData (ТДата) (1, 2)
Ростелеком (1, 2)
Другие (6, 6)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 103 (103, 0)
Raidix СХД - 47 (47, 0)
NetApp FASx - 45 (45, 0)
RS-DataHouse - 27 (24, 3)
Lenovo ThinkSystem - 17 (17, 0)
Другие 303
SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 8 (8, 0)
Lenovo ThinkSystem - 6 (6, 0)
Аэродиск Восток СХД - 3 (3, 0)
IBM FlashSystem - 3 (3, 0)
NetApp FASx - 3 (3, 0)
Другие 19
Lenovo ThinkSystem - 1 (1, 0)
EMC VNX - 1 (1, 0)
Aerodisk Engine N2 - 1 (1, 0)
TATLIN семейство систем хранения данных - 1 (1, 0)
NetApp FASx - 1 (1, 0)
Другие 6
Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3 (3, 0)
RT.Datalake Решение для хранения и обработки данных любых объемов - 1 (1, 0)
Cloudike - 1 (0, 1)
TATLIN семейство систем хранения данных - 1 (1, 0)
Cloud4Y СХД - 1 (1, 0)
Другие 1
RT.Datalake Решение для хранения и обработки данных любых объемов - 2 (2, 0)
TATLIN семейство систем хранения данных - 2 (2, 0)
Raidix СХД - 2 (2, 0)
Platformcraft Depot On-Premise - 1 (1, 0)
NetApp FASx - 1 (1, 0)
Другие 5