数千个 Oracle NetSuite 网站被指暴露客户数据 媒体
Oracle NetSuite SuiteCommerce 数据泄露风险
重点信息
Oracle 的 NetSuite SuiteCommerce 产品存在配置错误,可能导致客户数据暴露风险。研究显示,多个商业网站的配置方式存在缺陷,导致个人信息如邮寄地址和电话号码易于泄露。这并非 SuiteCommerce 本身的安全漏洞,而是许多网站配置方式不当所致。
根据安全公司 AppOmni 的研究,网络安全研究负责人 Aaron Costello 表示,很多 SuiteCommerce 安装都存在这一问题,造成记录在未经授权的情况下被调用。
lets快连官网“根据我最初的调查,已有几千个公开的 SuiteCommerce 网站受到影响,” Costello 解释道。
他指出,许多使用 NetSuite 的组织在购买实例时并不知道默认的公共网站已经被部署,而这些组织并无意创建商业商店。
具体而言,Costello 透露,许多网站对 API 调用存在漏洞,允许未经授权的用户提取客户记录。这让威胁行为者可能通过创建 HTML 请求来获取用户记录,通常包括地址和联系方式等信息。
“在 NetSuite 中,最常用的执行个人记录操作的 API 是 record API,” Costello 说。
“该 API 暴露的功能允许执行各种 CRUD 操作,客户侧便可轻松访问。”
不过,AppOmni 提醒,解决这一问题并不简单。Costello 表示,很多客户可能甚至未意识到他们的网站已经受到威胁者的攻击,因为在许多情况下,收集日志信息非常困难。
“不幸的是,NetSuite 并未提供现成的交易日志用于确定这些客户端 API 是否被恶意使用,” Costello 解释道。
“如果你怀疑你的组织可能成为攻击的受害者,且该攻击模式与本文讨论的内容相似,我们建议联系 NetSuite 支持并请求原始日志数据。”
问题描述配置漏洞多个网站的配置不当,导致客户数据暴露API 安全性未经授权的用户可通过 API 调用获取用户记录日志信息获取困难NetSuite 不提供直观的交易日志来追踪恶意使用应对措施建议联系 NetSuite 支持并请求获取原始日志数据以进行调查对企业而言,认识到数据泄露风险不仅是保护客户信息的必要措施,也是履行法律和道德责任的重要部分。请务必审查您网站的配置,确保所有设置都是安全的。
