Brasil,

TOKIO MARINE SEGURADORA

Varonis descobre nova ameaça em autenticação multifator da BOX

Método de autenticação baseado em SMS, também foi superado por cibercriminosos para terem acesso às contas de usuários

Pesquisadores de segurança cibernética da Varonis divulgaram em um novo relatório que a autenticação multifator (MFA) do Box, baseada em SMS, pode ser contornada de forma a comprometer dados confidenciais dos usuários do serviço.

“Usando essa técnica, um invasor pode usar credenciais roubadas para comprometer a conta Box de uma organização e exfiltrar dados confidenciais sem acesso ao telefone da vítima”, comenta Carlos Rodrigues, vice-presidente da Varonis para América Latina.

A empresa de segurança cibernética disse que relatou o problema ao provedor de serviços em nuvem em novembro do ano passado, postando quais correções foram emitidas pelo Box.

MFA é um método de autenticação que se baseia em uma combinação de fatores como uma senha (algo que apenas o usuário sabe) e uma senha temporária de uso único também conhecida como TOTP (algo que apenas o usuário tem) para fornecer aos usuários uma segunda camada de defesa contra preenchimento de credenciais e outros ataques de controle de contas.

Essa autenticação em duas etapas pode envolver o envio do código como SMS ou, alternativamente, acessado por meio de um aplicativo autenticador ou uma chave de segurança de hardware. Assim, quando um usuário do Box cadastrado para verificação por SMS faz login com um nome de usuário e senha válidos, o serviço define um cookie de sessão e redireciona o usuário para uma página onde o TOTP pode ser inserido para obter acesso à conta.

O desvio identificado pela Varonis é uma consequência do que os pesquisadores chamaram de mistura de modos MFA. Ocorre quando um invasor faz login com as credenciais da vítima e abandona a autenticação baseada em SMS em favor de um processo diferente que usa, digamos, o aplicativo autenticador para concluir com êxito o login simplesmente fornecendo o TOTP associado à sua própria conta Box.

“O Box não percebe que a vítima não se inscreveu em um aplicativo autenticador e, em vez disso, aceita cegamente uma senha de autenticação válida de uma conta totalmente diferente, sem primeiro verificar se pertencia ao usuário que estava fazendo login”, disseram os pesquisadores. “Isso possibilitou o acesso à conta Box da vítima sem acessar o telefone ou notificar o usuário via SMS”, completam.

Em outras palavras, o Box não verificou se a vítima estava inscrita em uma verificação baseada em aplicativo autenticador (ou qualquer outro método que não fosse SMS), mas também não validou se o código inserido é de um aplicativo autenticador que está realmente vinculado à vítima que está tentando fazer login.

As descobertas ocorrem pouco mais de um mês depois que a Varonis divulgou uma técnica semelhante que poderia permitir que cibercriminosos contornassem a verificação baseada em autenticador "cancelando a inscrição de um usuário da MFA após fornecer um nome de usuário e senha, mas antes de fornecer o segundo fator".

“O uso da autenticação multifator é importante para garantir a segurança no acesso a aplicativos na nuvem, e precisa ser visto como um ponto de partida para discutir uma estratégia mais aprofundada de segurança”, comenta Rodrigues. “Mas, como qualquer software pode haver vulnerabilidades e o problema é ainda mais complexo quando há alguma falha em sua implementação, como ocorreu com a plataforma Box, que permite que o recurso seja contornado”, completa.

Para evitar tal problema, a Varonis explica que as empresas não devem deixar de lado o uso do logon único (SSO), além do MFA, e também que adotem políticas de segurança que incentivem os usuários a usarem senhas fortes e evitarem o uso de perguntas com respostas simples e fáceis de serem encontradas no fluxo de autenticação, além de se manterem atentas às atualizações de violações publicadas pelo HaveIBeenPwnd, e outros sites de segurança.

“O MFA é tão bom quanto o desenvolvedor que escreveu seu código, e pode fornecer uma falsa sensação de segurança”, lembram os especialistas da Varonis.

Sobre a Varonis

Operando desde 2005, a Varonis é pioneira em segurança e análise de dados, e trava uma batalha diferente das empresas de segurança cibernética convencionais. Atualmente, as soluções desenvolvidas pela empresa se concentram na proteção de dados corporativos, tais como arquivos e e-mails confidenciais; dados confidenciais de clientes, pacientes e funcionários; recordes financeiros; planos estratégicos e de produto; e outras propriedades intelectuais. A Varonis Data Security Platform detecta ameaças cibernéticas de atores internos e externos, analisando dados, atividade da conta e comportamento do usuário; previne e limita desastres, bloqueando dados confidenciais e obsoletos; e sustenta com eficiência um estado seguro com automação. Os produtos Varonis atendem a outros casos de uso importantes, incluindo proteção de dados, governança de dados, confiança zero, conformidade, privacidade de dados, classificação e detecção e resposta a ameaças. Hoje, alguns clientes da empresa são líderes em seus mercados de atuação, tais como Serviços Financeiros, Setor Público, Saúde, Indústria, Seguros, Energia, Tecnologia, Varejo, Mídia e Entretenimento, Educação, entre outros.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

Adicionar comentário

Aja com responsabilidade, aos SEUS COMENTÁRIOS em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!


voltar ao topo