Serviço de armazenamento Box tem falha em dupla autenticação

Contas Box que utilizam a proteção de autenticação multifator podem ser facilmente invadidas e terem seus dados roubados. É o que aponta o estudo da Varonis publicado nesta quinta-feira, e que mostra como usuários mal-intencionados podem facilmente driblar o duplo fator de autenticação, usando uma credencial roubada.

Em janeiro de 2021, o serviço de armazenamento Box passou a permitir que os usuários usassem aplicativos de autenticação baseados em TOTP [One-Time Password, na sigla em inglês], uma tecnologia que possibilita a geração de uma senha única que pode ser usada dentro de uma janela temporal. Aplicativos como Google Authenticator, Okta Verify, Authy, entre outros, oferecem essa funcionalidade aos seus usuários.

"A implementação do multifator de autenticação é importante para garantir a segurança dos aplicativos em SaaS. O problema é quando há alguma falha em sua implementação, como no caso da plataforma Box - o que permite que um invasor contorne esse recurso de segurança. É vital adotar uma abordagem de defesa profunda que pressupõe violação, especialmente se existe a preocupação com ameaças internas", ressalta Carlos Rodrigues, vice-presidente da Varonis para América Latina.

Falha na autenticação

Quando um usuário adiciona um aplicativo autenticador à sua conta do Box, o aplicativo recebe um ID. Sempre que o usuário tenta fazer o login, o Box solicita ao usuário seu e-mail e senha, seguidos por uma senha de uso único de seu aplicativo autenticador. Se o usuário não fornecer a segunda senha, ele não poderá acessar os arquivos e pastas em sua conta do Box.

O problema é que a plataforma Box não exige que o usuário fosse totalmente autenticado para remover um dispositivo TOTP da conta do usuário. Como resultado, é possível cancelar a inscrição de um usuário no serviço escolhido de dupla autenticação - sem que seja necessário cumprir todo o procedimento de autenticação para tal.

A equipe de pesquisa da Varonis também constatou que, após cancelar a dupla autenticação do usuário, era possível logar no Box, com acesso total à conta.

A Varonis notificou a plataforma Box sobre falha na autenticação no mês passado, e a mesma já foi corrigida.

Sobre a Varonis

Operando desde 2005, a Varonis é pioneira em segurança e análise de dados, e trava uma batalha diferente das empresas de segurança cibernética convencionais. Atualmente, as soluções desenvolvidas pela empresa se concentram na proteção de dados corporativos, tais como arquivos e e-mails confidenciais; dados confidenciais de clientes, pacientes e funcionários; recordes financeiros; planos estratégicos e de produto; e outras propriedades intelectuais. A Varonis Data Security Platform detecta ameaças cibernéticas de atores internos e externos, analisando dados, atividade da conta e comportamento do usuário; previne e limita desastres, bloqueando dados confidenciais e obsoletos; e sustenta com eficiência um estado seguro com automação. Os produtos Varonis atendem a outros casos de uso importantes, incluindo proteção de dados, governança de dados, confiança zero, conformidade, privacidade de dados, classificação e detecção e resposta a ameaças. Hoje, alguns clientes da empresa são líderes em seus mercados de atuação, tais como Serviços Financeiros, Setor Público, Saúde, Indústria, Seguros, Energia, Tecnologia, Varejo, Mídia e Entretenimento, Educação, entre outros.