Box Облачный сервис хранения и обмена файлами

Основные статьи:

• Система хранения данных
• SaaS - История. Философия. Драйверы развития

2022: Обнаружение уязвимости системы многофакторной аутентификации сервиса

18 января 2022 года компания Varonis Systems сообщила, что выявила уязвимость в системе многофакторной аутентификации (MFA) облачного хранилища Box, использующей дополнительную проверку пользователя при помощи sms-сообщений. Это уже второй способ обхода MFA в Box, обнаруженный за последнее время. Он может быть использован злоумышленниками для кражи и компрометации корпоративных данных. При этом даже не требуется доступ к телефону атакуемого сотрудника.

Большое количество организаций выбирают именно облачные хранилища. Так, по данным компании Box, ее сервис используют 97 тысяч предприятий, 68% из них входят в список Fortune 500. Для организации доступа к данным они могут воспользоваться MFA, реализуемой при помощи специальных приложений, таких как Okta Verify и Google Authenticator, или sms-сообщений.

Многофакторную аутентификацию, как дополнительный способ защиты пользовательских аккаунтов, используют многие поставщики облачных сервисов. Box, после ввода логина и пароля, предлагает выбрать один из способов прохождения второго этапа аутентификации: при помощи приложения с использованием технологии ТОТР, либо sms-сообщения. При этом сам код отправляется в sms-сообщении только тогда, когда пользователь переходит к форме проверки. В противном случае сообщение не отправляется, однако система аутентификации Box все равно формирует файл cookie, который может быть перехвачен злоумышленником, обладающим украденными адресом электронной почты и паролем.«Диасофт» и «Центр «РИС» подтвердили безопасность решения Digital Q.ERP 12.4 т

Получив cookie, злоумышленник может перенаправить процесс MFA на форму, предусматривающую использование ТОТР. При этом система безопасности Box не проверяет, какой именно способ был выбран пользователем при регистрации и не отслеживает, принадлежит ли ему копия приложения, используемого для получения одноразового пароля. Это дает хакерам возможность получить доступ к учетной записи без использования телефона жертвы.

Алгоритм такой атаки можно представить следующим образом:

• злоумышленник выбирает вход с помощью MFA через приложение-аутентификатор и сохраняет фактор аутентификации;
• на странице account.box.com/login он вводит логин и пароль;
• если комбинация окажется правильной, браузер отправляет новый файл cookie для аутентификации и перенаправляет сеанс на страницу /2fa/verification;
• злоумышленник вместо перехода на форму проверки sms-кода передает свой собственный фактор аутентификатор и код из приложения, и получает доступ к данным аккаунта. Причем жертве sms-сообщение даже не отправляется.

«Многофакторная аутентификация пользователей рассматривается многими компаниями как панацея, предотвращающая угрозы безопасности данных. Достаточно вспомнить об обязательном использовании MFA в сервисах Salesforce и Microsoft в России, к примеру, перейти на использование MFA рекомендуют пользователям портала госуслуг. Однако, надежность такой системы во многом зависит от ее реализации. Многофакторная аутентификация может сформировать ложное ощущение безопасности, но ее использование вовсе не гарантирует, что данные достаточно защищены», – говорит Даниэль Гутман, глава Varonis в России.

Специалисты Varonis считают, что использование MFA не исключает необходимости использования подхода, ориентированного на данные, в вопросах обеспечения безопасности информационных систем. В любом случае организации нужно контролировать как использование многофакторной аутентификации в своих сервисах, так и работу с самими данными.

Помимо этого, сотрудники, ответственные за информационную безопасность, должны знать:

• к какому объему данных могут получить доступ злоумышленники при компрометации учетной записи;
• не раскрываются ли данные компании чрезмерно широкому кругу пользователей и оповестит ли система безопасности администратора, если обнаружит аномальный доступ к ним.

Исследовательская группа компании Varonis ранее обнаружила способ обхода многофакторной аутентификации для учетных записей сервиса Box, использующих приложения-аутентификаторы, такие как Google Authenticator.

2014: Снятие лимитов на место для хранения информации для подписчиков Business

Провайдер облачного сервиса Box снял в июле 2014 года лимиты на место для хранения информации всем компаниям, подписанным на план «Business», находящийся на одну ступень ниже Enterprise.

Box предлагает неограниченное пространство хранения для клиентов Enterprise с 2010 года (в последнее время цена на эту подписку стартует с $35 за пользователя в месяц). До сих пор в плане Busines было ограничение 1000 гигабайт, а цена на подписку составляла $15 за пользователя в месяц. Теперь для всех нынешних и будущих клиентов плана Business предлагается неограниченное место для хранения.

2013

Сервис Box, с которым можно работать из браузеров и мобильных приложений для всех основных платформ, предназначен для предприятий любых размеров. По информации на 2013 год в Box собираются расширить и усовершенствовать имеющиеся в нем средства совместной работы над документами.

2012: Возможности сервиса

На ноябрь 2012 года сервис предлагал следующие возможности:

• Бесплатное хранение: 5 ГБ

• Дополнительное пространство: Личная учетная запись, 25 ГБ за 9.99 долларов в месяц; 50 ГБ за 19.99 долларов в месяц. Бизнес-версия: 15 долларов с пользователя в месяц, от 3 до пятисот пользователей; 1 ТБ, общий доступ с парольной защитой, управлением доступом и правами пользователей. Корпоративная учетная запись: индивидуальная тарификация, неограниченное пространство, потребительский брэндинг и инструменты управления групповым доступом.

• Дополнительная информация: предлагает шифрование по стандартам SSL и AES 256-бит и брандмауэр. В бизнес-версиях, и корпоративных учетных записях файлы шифруются методом автоматической избыточности. Максимальный размер файла: 100 МБ в бесплатных учетных записях, 1 ГБ в платных личных учетных записях; в бизнес-версиях — файлы размером 2 ГБ. Box позволяет редактировать документы в облаке с помощью сторонних приложений, типа Zoho.