AI与科技出海生态平台

甲骨文Oracle NetSuite ERP漏洞导致海量客户信息泄露

根据SC Media 报告,由于 甲骨文SuiteCommerce 产品配置错误,导致未经授权的记录检索,数千个使用 甲骨文Oracle NetSuite 的网站可能遭到泄露包括电话号码和地址在内的海量用户个人信息 。

根据 AppOmni 的分析,该漏洞来自 SuiteCommerce 实例中错误配置的访问控制,特别是在自定义记录类型 (CRT)(由 SuiteCommerce 企业客户建立的表)内。

这些表通常保存关键的客户数据以及业务运营信息。设法存取这些数据的骗子可以窃取客户地址、电话号码、订单历史记录等。

据悉,许多中小型组织使用 Oracle NetSuite来受益于基于云端的应用程序固有的敏捷性。利用 NetSuite,这些公司可以将基于手动纸张和电子表格的流程减少多达 70%。他们还可以节省高达 93% 的相关 IT 成本 ( Oracle )。

但在 NetSuite 中,对单一记录执行操作最常用的 API 是透过具有『记录』’record’ 功能的API完成。该 API 公开的功能赋予执行各种 CRUD 操作的能力,可以从客户端方便地访问。

专家指出,解决此类问题具有挑战性,因为许多人没有意识到网站遭到破坏,而 NetSuite 交易日志无法访问,而 NetSuite 交易日志可能有助于检测恶意 API 的使用。

好消息是 NetSuite 已经意识到了潜在威胁,据说正在开发补丁。它还告诉所有 SuiteCommerce 用户检查其安全设定并应用建议的最佳实践,因为这是保护 CRT 免受威胁行为者和其他未经身份验证的用户攻击的正确方法。

AppOmni SaaS 通过分析得出结论:越来越多的案例显示,透过SaaS 应用程序暴露未经身份验证的数据是企业面临的最大威胁之一。 “此外,随着供货商在其产品中引入越来越复杂的功能以保持竞争力,这些风险将变得更加普遍。”

值得一提的是,企业组织解决这一问题存在一定难度,因为这些问题通常是「透过客制化研究」发现的,而许多公司没有时间或资金来解决它。

 

赞(11)
未经允许不得转载:维端网 » 甲骨文Oracle NetSuite ERP漏洞导致海量客户信息泄露
分享到

AI与科技出海生态平台

联系我们关于维端

登录

找回密码

注册