Хакер #305. Многошаговые SQL-инъекции
Британский поставщик решений для кибербезопасности Sophos уведомляет клиентов об инциденте, с которым компания столкнулась в начале текущей недели. Официальное сообщение гласит:
«24 ноября 2020 года Sophos стало известно о проблеме с правами доступа к инструменту, используемому для хранения информации о клиентах, которые обратились в службу поддержки Sophos».
Из-за ошибки компании произошла утечка информации о клиентах Sophos, включая такие данные имя и фамилия, адреса электронной почты и номера телефонов (если они были предоставлены).
Представители Sophos сообщили изданию ZDNet, что пострадали только «небольшие группы» клиентов, однако не уточнили даже приблизительное количество жертв утечки. Также сообщается, что о неправильной конфигурации инструмента компания узнала от некоего исследователя безопасности, и в настоящее время найденная проблема была устранена.
Издание напоминает, что это уже второй серьезный инцидент, с которым компания Sophos столкнулась в этом году. В апреле 2020 года группа хакеров обнаружила 0-day уязвимость в брандмауэре Sophos XG. Преступники использовали этот баг для взлома компаний по всему миру и разворачивали в зараженных сетях троян Asnarok.