Бесплатно Экспресс-аудит сайта:

20.08.2024

Ошибка на миллион: почему клиенты Oracle NetSuite рискуют больше, чем думают

В облачной платформе для управления бизнесом Oracle NetSuite обнаружена масштабная уязвимость, которая может привести к утечке конфиденциальных данных клиентов тысяч сайтов электронной коммерции.

Исследователи из компании AppOmni выявили, что неправильная настройка системы безопасности на платформе SuiteCommerce, используемой для управления онлайн-магазинами, позволяет неавторизованным пользователям получать доступ к важной информации через уязвимые API.

Проблема заключается в ошибках конфигурации, допущенных администраторами сайтов. Из-за этого злоумышленники могут манипулировать URL-адресами для получения доступа к персональным данным, включая адреса и номера телефонов клиентов. Аарон Костелло, глава отдела исследований безопасности SaaS в AppOmni, отметил, что проблема затрагивает большое количество организаций, а масштабы утечек вызывают серьёзные опасения.

Компания Oracle уже выпустила рекомендации по улучшению безопасности и призвала своих клиентов пересмотреть настройки доступа, чтобы предотвратить утечку данных. Однако, несмотря на предупреждения, многие компании могут не осознавать угрозу и продолжать подвергать риску данные своих клиентов.

Основной проблемой остаётся сложность обнаружения таких утечек, так как в Oracle NetSuite отсутствуют базовые инструменты для отслеживания подозрительных транзакций. Это затрудняет выявление возможных атак и защиты данных.

Эксперты подчёркивают, что с ростом использования облачных сервисов по подписке для ведения бизнеса, атаки на эти платформы стали гораздо более частыми и изощренными. Злоумышленники, включая известные киберпреступные группировки, активно нацеливаются на SaaS, что требует от организаций пересмотра их подходов к кибербезопасности.

Специалисты рекомендуют администраторам платформ электронной коммерции тщательно проверять настройки доступа на уровне полей форм на своих сайтах и ограничивать доступ к тем данным, которые не должны быть общедоступными. Только так можно защитить конфиденциальную информацию и минимизировать риски утечек.