Logo
Imprimir esta página

Serviço de armazenamento Box tem falha em dupla autenticação

Invasores podem "driblar"autenticação multifator das contas Box e exfiltrar dados confidenciais de contas empresariais

Contas Box que utilizam a proteção de autenticação multifator podem ser facilmente invadidas e terem seus dados roubados. É o que aponta o estudo da Varonis publicado nesta quinta-feira, e que mostra como usuários mal-intencionados podem facilmente driblar o duplo fator de autenticação, usando uma credencial roubada.

Em janeiro de 2021, o serviço de armazenamento Box passou a permitir que os usuários usassem aplicativos de autenticação baseados em TOTP [One-Time Password, na sigla em inglês], uma tecnologia que possibilita a geração de uma senha única que pode ser usada dentro de uma janela temporal. Aplicativos como Google Authenticator, Okta Verify, Authy, entre outros, oferecem essa funcionalidade aos seus usuários.

"A implementação do multifator de autenticação é importante para garantir a segurança dos aplicativos em SaaS. O problema é quando há alguma falha em sua implementação, como no caso da plataforma Box - o que permite que um invasor contorne esse recurso de segurança. É vital adotar uma abordagem de defesa profunda que pressupõe violação, especialmente se existe a preocupação com ameaças internas", ressalta Carlos Rodrigues, vice-presidente da Varonis para América Latina.

Falha na autenticação

Quando um usuário adiciona um aplicativo autenticador à sua conta do Box, o aplicativo recebe um ID. Sempre que o usuário tenta fazer o login, o Box solicita ao usuário seu e-mail e senha, seguidos por uma senha de uso único de seu aplicativo autenticador. Se o usuário não fornecer a segunda senha, ele não poderá acessar os arquivos e pastas em sua conta do Box.

O problema é que a plataforma Box não exige que o usuário fosse totalmente autenticado para remover um dispositivo TOTP da conta do usuário. Como resultado, é possível cancelar a inscrição de um usuário no serviço escolhido de dupla autenticação - sem que seja necessário cumprir todo o procedimento de autenticação para tal.

A equipe de pesquisa da Varonis também constatou que, após cancelar a dupla autenticação do usuário, era possível logar no Box, com acesso total à conta.

A Varonis notificou a plataforma Box sobre falha na autenticação no mês passado, e a mesma já foi corrigida.

Sobre a Varonis

Operando desde 2005, a Varonis é pioneira em segurança e análise de dados, e trava uma batalha diferente das empresas de segurança cibernética convencionais. Atualmente, as soluções desenvolvidas pela empresa se concentram na proteção de dados corporativos, tais como arquivos e e-mails confidenciais; dados confidenciais de clientes, pacientes e funcionários; recordes financeiros; planos estratégicos e de produto; e outras propriedades intelectuais. A Varonis Data Security Platform detecta ameaças cibernéticas de atores internos e externos, analisando dados, atividade da conta e comportamento do usuário; previne e limita desastres, bloqueando dados confidenciais e obsoletos; e sustenta com eficiência um estado seguro com automação. Os produtos Varonis atendem a outros casos de uso importantes, incluindo proteção de dados, governança de dados, confiança zero, conformidade, privacidade de dados, classificação e detecção e resposta a ameaças. Hoje, alguns clientes da empresa são líderes em seus mercados de atuação, tais como Serviços Financeiros, Setor Público, Saúde, Indústria, Seguros, Energia, Tecnologia, Varejo, Mídia e Entretenimento, Educação, entre outros.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

Copyright ©2002-2022 Clipping - Segs - Portal Nacional de Seguros, Saúde, Veículos, Informática, Info, Ti, Educação, Eventos, Agronegócio, Economia, Turismo, Viagens, Vagas, Agro e Entretenimento. - Todos os direitos reservados.- www.SEGS.com.br - IMPORTANTE:: Antes de Usar o Segs, Leia Todos os Termos de Uso.
SEGS é compatível com Browsers Google Chrome, Firefox, Opera, Psafe, Safari, Edge, Internet Explorer 11 - (At: Não use Internet Explorer 10 ou anteriores, além de não ter segurança em seu PC, o SEGS é incompatível)
Por Maior Velocidade e Mais Segurança, ABRA - AQUI E ATUALIZE o seu NAVEGADOR(Browser) é Gratuíto