В январе 2021 года компания Box запустила возможность для учетных записей использовать приложения аутентификации на основе TOTP, такие как Google Authenticator, Okta Verify, Authy, Duo. Box рекомендует TOTP вместо аутентификации на основе SMS по очевидным причинам — SMS-сообщения могут быть перехвачены с помощью подмены SIM-карт, мошенничества при выходе из системы и других методов.
Обычно приложения аутентификаторов, которые соответствуют алгоритму TOTP (одноразовый пароль), не только проще в использовании для конечного пользователя, но и намного безопаснее, чем SMS. Когда пользователь добавляет приложение-аутентификатор в свою учетную запись Box, приложению присваивается ID. Каждый раз, когда пользователь пытается войти в систему, Box запрашивает его электронную почту и пароль, а затем одноразовый пароль от приложения-аутентификатора. Если пользователь не предоставит второй фактор, он не сможет получить доступ к файлам и папкам в своей учетной записи Box. Это обеспечивает вторую линию защиты на случай, если у пользователя слабый пароль (или его утечка).
Но как отмечают аналитики Varonis, конечная точка /mfa/unenrollment не требовала полной аутентификации пользователя, чтобы удалить устройство TOTP из учетной записи пользователя. В результате эксперимента получилось исключить пользователя из MFA после предоставления имени пользователя и пароля, но до предоставления второго фактора. После выполнения этого действия исследователи смогли войти в систему без каких-либо требований MFA и получить полный доступ к учетной записи Box пользователя, включая все его файлы и папки. До исправления этой уязвимости со стороны Box злоумышленники могли компрометировать учетные записи пользователей с помощью подстановки учетных данных, методом перебора паролей.
Чтобы минимизировать вероятность появления ошибки аутентификации, Varonis рекомендует делегировать реализацию MFA провайдеру (например, Okta), который специализируется на аутентификации. В дополнение к требованию MFA, Varonis рекомендует использовать SSO, где это возможно; применять политики надежных паролей, отслеживать сайты, такие как HaveIBeenPwnd, на предмет взломанных учетных записей, связанных с вашим доменом. Кроме того, стоит избегать использования проверочных вопросов, предполагающих простые ответы (например, «Укажите девичью фамилию вашей матери»).