维端网根据SC Media 报告,由于 甲骨文SuiteCommerce 产品配置错误,导致未经授权的记录检索,数千个使用 甲骨文Oracle NetSuite 的网站可能遭到泄露包括电话号码和地址在内的海量用户个人信息 。
根据 AppOmni 的分析,该漏洞来自 SuiteCommerce 实例中错误配置的访问控制,特别是在自定义记录类型 (CRT)(由 SuiteCommerce 企业客户建立的表)内。
这些表通常保存关键的客户数据以及业务运营信息。设法存取这些数据的骗子可以窃取客户地址、电话号码、订单历史记录等。
据悉,许多中小型组织使用 Oracle NetSuite来受益于基于云端的应用程序固有的敏捷性。利用 NetSuite,这些公司可以将基于手动纸张和电子表格的流程减少多达 70%。他们还可以节省高达 93% 的相关 IT 成本 ( Oracle )。
但在 NetSuite 中,对单一记录执行操作最常用的 API 是透过具有『记录』’record’ 功能的API完成。该 API 公开的功能赋予执行各种 CRUD 操作的能力,可以从客户端方便地访问。
专家指出,解决此类问题具有挑战性,因为许多人没有意识到网站遭到破坏,而 NetSuite 交易日志无法访问,而 NetSuite 交易日志可能有助于检测恶意 API 的使用。
好消息是 NetSuite 已经意识到了潜在威胁,据说正在开发补丁。它还告诉所有 SuiteCommerce 用户检查其安全设定并应用建议的最佳实践,因为这是保护 CRT 免受威胁行为者和其他未经身份验证的用户攻击的正确方法。
AppOmni SaaS 通过分析得出结论:越来越多的案例显示,透过SaaS 应用程序暴露未经身份验证的数据是企业面临的最大威胁之一。 “此外,随着供货商在其产品中引入越来越复杂的功能以保持竞争力,这些风险将变得更加普遍。”
值得一提的是,企业组织解决这一问题存在一定难度,因为这些问题通常是「透过客制化研究」发现的,而许多公司没有时间或资金来解决它。
