[漏洞警报] Sophos 错误配置导致数据泄露

网络安全公司Sophos正在通过电子邮件通知客户有关安全漏洞的信息，该公司已于11月24日意识到这一事件。

“在2020年11月24日，Sophos被告知了用于存储与Sophos Support联系的客户信息的工具中的访问许可问题，” 阅读电子邮件。

“在Sophos，客户隐私和安全始终是我们的首要任务。我们正在与所有受影响的客户联系。” “此外，我们正在实施其他措施，以确保访问权限设置持续安全。“

据该公司称，公开信息包括客户的名字和姓氏，电子邮件地址和电话号码（可选）。

Sophos发言人透露，该公司客户中只有一小部分受到影响。在撰写本文时，尚不清楚受影响客户的确切数量。

在安全研究人员发出警告之后，Sophos意识到了配置错误。该公司在当天立即解决了该问题。

4月，这家安全公司发布了一个紧急补丁，以解决影响其XG防火墙产品的SQL注入零日漏洞，该漏洞已被利用。

该公司对该事件进行了调查，并确定黑客针对的是配置了管理（HTTPS服务）或WAN区域中公开的用户门户的系统。

攻击者利用SQL注入零时差漏洞来访问暴露的XG设备。