Sophos系统组态不当致客户资料曝险

英国防毒软件公司Sophos本周通知客户，该公司一个和客服资讯相关系统组态不当，导致客户资料公开于网络上。

宣称取得Sophos客服电子邮件的ZDNet本周报导，Sophos在信中指出，该公司被告知在一个系统存在“存取许可”问题，这个系统用于储存客服支援部门用户的相关资讯。由于这个疏漏，致使包含客户全名、电子邮件和电话等资讯公开在网络上。

一名第三方安全研究人员发现了这个组态问题后通报该公司。Sophos说它接获通报后立即修正了错误，也通知了受影响的所有客户，并强化安全措施以确保存取控管设定的安全。

Sophos也证实这项消息，但表示只有“一小部分”客户受到影响，并未提供详细数字。同时Sophos也未说明组态问题存在时间，以及资料是否遭到存取。

企业因为数据库组态不当，使客户资料在系统未设密码挂在网络上的事屡见不鲜。就连微软今年内也先后爆出数据库组态错误致使2.5亿笔客户资料曝光，以及大量资料遭删光。

这也是Sophos今年内第二度爆出安全问题。今年4月Sophos通知用户，旗下企业防火墙产品XG Firewall一个之前未发现的资料隐码（SQL injection）漏洞遭到骇客开采并植入恶意程式以窃取防火墙中的档案，多家客户受到影响。