हमलावर Box.com के बहु-कारक प्रमाणीकरण को बायपास करने में सक्षम थे। Varonis रिसर्च टीम ने बॉक्स खातों के लिए MFA को क्लासिक वन-फैक्टर ऑथेंटिकेशन से बदलने का तरीका खोजा।
Box.com उन क्लाउड प्रदाताओं की लंबी सूची में शामिल हो गया है जहां हाल ही में MFA कमजोरियों का खुलासा हुआ था: Varonis शोध टीम ने बॉक्स खातों के लिए MFA को क्लासिक वन-फैक्टर प्रमाणीकरण के साथ बदलने का एक तरीका खोजा, प्रमाणीकरण - Google प्रमाणक जैसे ऐप्स का उपयोग करें। इसने हमलावरों को चोरी किए गए क्रेडेंशियल्स के साथ एक संगठन के बॉक्स खाते से छेड़छाड़ करने और एक बार के पासवर्ड का उपयोग किए बिना संवेदनशील डेटा को बाहर निकालने की अनुमति दी।
Box.com भेद्यता अब बंद हो गई है
सुरक्षा शोधकर्ताओं ने 3 नवंबर को हैकरवन के माध्यम से बॉक्स को इस भेद्यता की सूचना दी, जिसने इसे बंद करने के लिए प्रेरित किया। फिर भी, यह सुरक्षा अंतर यह स्पष्ट करता है कि प्रतीत होने वाली सुरक्षित तकनीकों का उपयोग करते हुए भी क्लाउड सुरक्षा को कभी भी प्रदान नहीं किया जाना चाहिए। वरोनिस सुरक्षा शोधकर्ताओं ने व्यापक रूप से उपयोग किए जाने वाले सास अनुप्रयोगों में दो और एमएफए बायपास की खोज की है, जो कि तय होने के बाद जारी किए जाएंगे।
एमएफए बॉक्स पर कैसे काम करता है?
जब कोई उपयोगकर्ता अपने बॉक्स खाते में एक प्रमाणीकरणकर्ता ऐप जोड़ता है, तो ऐप को दृश्यों के पीछे एक कारक आईडी असाइन की जाती है। हर बार जब उपयोगकर्ता लॉग इन करने का प्रयास करता है, तो बॉक्स उपयोगकर्ता को उनके ईमेल और पासवर्ड के लिए संकेत देता है, उसके बाद उनके प्रमाणक ऐप से एक बार का पासवर्ड।
यदि उपयोगकर्ता दूसरा कारक प्रदान नहीं करता है, तो वे अपने बॉक्स खाते में फ़ाइलों और फ़ोल्डरों तक पहुँचने में सक्षम नहीं होंगे। उपयोगकर्ता के पास कमजोर (या लीक) पासवर्ड होने की स्थिति में यह रक्षा की दूसरी पंक्ति प्रदान करता है।
कमजोर बिंदु कहां है?
Varonis टीम ने पाया कि /mfa/unenrollment समापन बिंदु को उपयोगकर्ता खाते से TOTP डिवाइस को हटाने के लिए पूर्ण उपयोगकर्ता प्रमाणीकरण की आवश्यकता नहीं होती है। परिणामस्वरूप, एक उपयोगकर्ता नाम और पासवर्ड प्रदान करने के बाद और दूसरा कारक प्रदान करने से पहले, कोई व्यक्ति MFA से सफलतापूर्वक बाहर निकल सकता है। इस निष्क्रियता के बाद, एमएफए के बिना लॉग इन करना और सभी फाइलों और फ़ोल्डरों सहित उपयोगकर्ता के बॉक्स खाते तक पूरी पहुंच प्राप्त करना संभव था। इस तरह, यहां तक कि एमएफए-सुरक्षित बॉक्स खातों को क्रेडेंशियल स्टफिंग, क्रूर बल या फ़िशिंग क्रेडेंशियल्स के माध्यम से समझौता किया जा सकता है। वरोनिस ब्लॉग पोस्ट और वहां उपलब्ध वीडियो एक हमले का सटीक कोर्स दिखाते हैं।
Varonis.com पर अधिक
वरोनिस के बारे में 2005 में अपनी स्थापना के बाद से, Varonis ने अपनी सुरक्षा रणनीति के केंद्र में ऑन-प्रिमाइसेस और क्लाउड दोनों में संग्रहीत कॉर्पोरेट डेटा रखकर अधिकांश IT सुरक्षा विक्रेताओं के लिए एक अलग दृष्टिकोण लिया है: संवेदनशील फ़ाइलें और ईमेल, गोपनीय ग्राहक, रोगी और रोगी जानकारी कर्मचारी रिकॉर्ड, वित्तीय रिकॉर्ड, रणनीतिक और उत्पाद योजना, और अन्य बौद्धिक संपदा। Varonis Data Security Platform (DSP) डेटा, खाता गतिविधि, टेलीमेट्री और उपयोगकर्ता के व्यवहार का विश्लेषण करके अंदरूनी खतरों और साइबर हमलों का पता लगाता है, संवेदनशील, विनियमित और बासी डेटा को लॉक करके डेटा सुरक्षा उल्लंघनों को रोकता या कम करता है, और सिस्टम की सुरक्षित स्थिति बनाए रखता है। कुशल स्वचालन के माध्यम से।,