針對SaaS服務而來的資安事故,突顯這類系統已成為駭客偏好下手的目標,而且影響範圍往往相當廣泛。例如,今年6月資安業者Mandiant揭露鎖定Snowflake用戶的大規模資料竊取及勒索行動,傳出售票平臺TicketMaster、電信業者AT&T都因此受害。這類平臺潛在的資安弱點,也成為研究人員近年來關注的焦點。

資安業者AppOmni指出,Oracle旗下的雲端ERP平臺NetSuite廣泛存在用戶配置錯誤的情況,有可能導致敏感的客戶資料在數千個網站上曝露。這項問題存在於名為SuiteCommerce電商網站元件,起因是自訂記錄類型(Custom Record Types,CRT)的存取控制錯誤組態造成。對此,研究人員呼籲,系統管理員應加強CRT項目的存取控制,避免敏感資料的欄位可被公開存取,並考慮將受影響的網站下線,以防止資料外洩的危機。Oracle也針對研究人員的發現引入額外措施,防止資料不慎洩露給未經身分驗證的用戶,他們也提供最佳實作供IT人員參考。

NetSuite是以SaaS服務提供的ERP平臺,其中相當受到歡迎的功能,就是結合了名為SuiteCommerce、SiteBuilder的功能,讓企業能部署購物網站,而這些網站建置於NetSuite租戶的子網域,使用者可在未經身分驗證的情況下瀏覽購物網站,或是通過相關流程購買商品。由於NetSuite整合了電子商務營運及供應鏈管理等功能,從而簡化、自動化訂單處理流程,並減少企業庫存管理所需的心力。

由於NetSuite以SaaS服務型式提供,他們發現與過往揭露的ServiceNow、Salesforce弱點情況相當類似,攻擊者有機會在未經身分驗證的情況下,從建置於NetSuite的公開網站竊取資料,根據調查,有數千個公開的SuiteCommerce受到影響。

研究人員指出,採用這套ERP系統但無意建置購物網站的企業,很有可能不會注意到系統根據採購情形已設置了預設的庫存網站,而且這個網站還是能夠公開存取。而根據他們的觀察,這些網站最常曝露的敏感資料,就是能夠識別已註冊客戶的個人資料(PII),這當中通常包含完整的地址與行動電話號碼。

熱門新聞

Advertisement