Простой обход сделал многофакторную аутентификацию Box ненужной

Компания Box устранила уязвимость

Исследователи кибербезопасности помогли устранить проблему в Box, которая могла быть использована для обхода многофакторной аутентификации (MFA) для учетных записей, которые полагались на приложения-аутентификаторы, такие как Google Authenticator.

Популярная компания облачного хранения была предупреждена исследователями из Varonis после того, как они обнаружили относительно простое обходное решение для использования украденных учетных данных для входа в аккаунт Box без предоставления одноразового пароля на основе времени (TOTP).

По словам исследователей, Box позволял пользователям получить доступ к некоторым областям аккаунта после проверки учетных данных, но до ввода TOTP. Они продемонстрировали механизм, позволяющий отключить пользователя от MFA после предоставления имени пользователя и пароля, но до введения второго фактора.

«MFA — это шаг к более безопасному интернету и более надежной аутентификации для приложений SaaS [Software-as-a-Service], на которые мы полагаемся, но MFA не совершенен. В настоящее время наблюдается массовое продвижение MFA на основе TOTP, но если в его реализации есть какие-либо недостатки, его можно обойти», — указывают исследователи.

Оставьте комментарий