英国杀毒软件公司Sophos本周通知客户,该公司一个和客服信息相关系统组态不当,导致客户资料公开于网络上。
宣称取得Sophos客服电子邮件的ZDNet本周报道,Sophos在信中指出,该公司被告知在一个系统存在“访问许可”问题,这个系统用于存储客服支持部门用户的相关信息。由于这个疏漏,致使包含客户全名、电子邮件和电话等信息公开在网络上。
一名第三方安全研究人员发现了这个组态问题后通报该公司。Sophos说它接获通报后立即修正了错误,也通知了受影响的所有客户,并强化安全措施以确保访问管控设置的安全。
Sophos也证实这项消息,但表示只有“一小部分”客户受到影响,并未提供详细数字。同时Sophos也未说明组态问题存在时间,以及资料是否遭到访问。
企业因为数据库组态不当,使客户资料在系统未设密码挂在网络上的事屡见不鲜。就连微软今年内也先后爆出数据库组态错误致使2.5亿笔客户资料曝光,以及大量资料遭删光。
这也是Sophos今年内第二度爆出安全问题。今年4月Sophos通知用户,旗下企业防火墙产品XG Firewall一个之前未发现的资料隐码(SQL injection)漏洞遭到黑客开采并植入恶意程序以窃取防火墙中的文件,多家客户受到影响。