Ошибка на миллион: почему клиенты Oracle NetSuite рискуют больше, чем думают
Ошибки в конфигурации привели к массовым утечкам персональных данных.
В облачной платформе для управления бизнесом Oracle NetSuite обнаружена масштабная уязвимость, которая может привести к утечке конфиденциальных данных клиентов тысяч сайтов электронной коммерции.
Исследователи из компании AppOmni выявили, что неправильная настройка системы безопасности на платформе SuiteCommerce, используемой для управления онлайн-магазинами, позволяет неавторизованным пользователям получать доступ к важной информации через уязвимые API.
Проблема заключается в ошибках конфигурации, допущенных администраторами сайтов. Из-за этого злоумышленники могут манипулировать URL-адресами для получения доступа к персональным данным, включая адреса и номера телефонов клиентов. Аарон Костелло, глава отдела исследований безопасности SaaS в AppOmni, отметил, что проблема затрагивает большое количество организаций, а масштабы утечек вызывают серьёзные опасения.
Компания Oracle уже выпустила рекомендации по улучшению безопасности и призвала своих клиентов пересмотреть настройки доступа, чтобы предотвратить утечку данных. Однако, несмотря на предупреждения, многие компании могут не осознавать угрозу и продолжать подвергать риску данные своих клиентов.
Основной проблемой остаётся сложность обнаружения таких утечек, так как в Oracle NetSuite отсутствуют базовые инструменты для отслеживания подозрительных транзакций. Это затрудняет выявление возможных атак и защиты данных.
Эксперты подчёркивают, что с ростом использования облачных сервисов по подписке для ведения бизнеса, атаки на эти платформы стали гораздо более частыми и изощренными. Злоумышленники, включая известные киберпреступные группировки, активно нацеливаются на SaaS, что требует от организаций пересмотра их подходов к кибербезопасности.
Специалисты рекомендуют администраторам платформ электронной коммерции тщательно проверять настройки доступа на уровне полей форм на своих сайтах и ограничивать доступ к тем данным, которые не должны быть общедоступными. Только так можно защитить конфиденциальную информацию и минимизировать риски утечек.