La società di sicurezza informatica Varonis ha scovato un grave bug nel meccanismo di autenticazione a più fattori (MFA) di Box, il famoso servizio di cloud storage, che qualora sfruttato permette ad eventuali malintenzionati di eludere completamente la verifica per l’accesso basata sugli SMS. La falla, segnalata a novembre 2021, fortunatamente è stata già risolta.
Box: autenticazione a più fattori fallata
Per chi non ne fosse a conoscenza, l’autenticazione a più fattori è un sistema che si basa sulla combinazione di una password impostata dall’utente e una temporanea e monouso (TOTP) per fornire un secondo livello di difesa contro l’acquisizione indebita delle credenziali degli account. Si tratta, insomma, di un mezzo abbastanza efficiente per evitare che soggetti terzi non autorizzati possano loggarsi ad account che non gli appartengono.
Considerando che questo tipo di autenticazione può comportare l’invio del codice d’accesso a mezzo SMS oppure mediante un’app o un device hardware, quando un utente Box che ha attiva tale opzione effettua il login con username e password validi, il servizio imposta un cookie di sessione e reindirizza ad una pagina in cui è possibile inserire il codice temporaneo per l’accesso.
Il bug identificato dai ricercatori andava allora a palesarsi qualora un malintenzionato avesse provato ad accedere con le credenziali della vittima, abbandonando l’autenticazione basata sull’invio di un SMS in favore di uno strumento diverso, ad esempio l’app di autenticazione.
Nel video presente di seguito è possibile visionare concretamente come un malintenzionato avrebbe potuto sfruttare il bug.
In soldoni, Box non verificava se la vittima aveva abilitato un’app di autenticazione o qualsiasi altro metodo che escludeva gli SMS e neppure se il codice inserito risultava essere proveniente da un sistema effettivamente configurato e collegato dal legittimo proprietario dell’account.