针对SaaS服务而来的安全事故,突显这类系统已成为黑客偏好下手的目标,而且影响范围往往相当广泛。例如,今年6月安全企业Mandiant披露锁定Snowflake用户的大规模数据窃取及勒索行动,传出售票平台TicketMaster、电信企业AT&T都因此受害。这类平台潜在的安全弱点,也成为研究人员近年来关注的焦点。
安全企业AppOmni指出,Oracle旗下的云计算ERP平台NetSuite广泛存在用户配置错误的情况,有可能导致敏感的客户数据在数千个网站上暴露。这项问题存在于名为SuiteCommerce电商网站组件,起因是自订记录类型(Custom Record Types,CRT)的访问控制错误组态造成。对此,研究人员呼吁,系统管理员应加强CRT项目的访问控制,避免敏感数据的字段可被公开访问,并考虑将受影响的网站下线,以防止数据外流的危机。Oracle也针对研究人员的发现引入额外措施,防止数据不慎泄露给未经身份验证的用户,他们也提供最佳实例供IT人员参考。
NetSuite是以SaaS服务提供的ERP平台,其中相当受到欢迎的功能,就是结合了名为SuiteCommerce、SiteBuilder的功能,让企业能部署购物网站,而这些网站构建于NetSuite租户的子域名,用户可在未经身份验证的情况下浏览购物网站,或是通过相关流程购买商品。由于NetSuite集成了电子商务运营及供应链管理等功能,从而简化、自动化订单处理流程,并减少企业库存管理所需的心力。
由于NetSuite以SaaS服务形式提供,他们发现与以往披露的ServiceNow、Salesforce弱点情况相当类似,攻击者有机会在未经身份验证的情况下,从构建于NetSuite的公开网站窃取数据,根据调查,有数千个公开的SuiteCommerce受到影响。
研究人员指出,采用这套ERP系统但无意构建购物网站的企业,很有可能不会注意到系统根据采购情形已设置了默认的库存网站,而且这个网站还是能够公开访问。而根据他们的观察,这些网站最常暴露的敏感数据,就是能够识别已注册客户的个人数据(PII),这其中通常包含完整的地址与移动电话号码。
