Oracle NetSuite SuiteCommerce 数据泄露风险

重点信息

Oracle 的 NetSuite SuiteCommerce 产品存在配置错误，可能导致客户数据暴露风险。研究显示，多个商业网站的配置方式存在缺陷，导致个人信息如邮寄地址和电话号码易于泄露。这并非 SuiteCommerce 本身的安全漏洞，而是许多网站配置方式不当所致。

根据安全公司 AppOmni 的研究，网络安全研究负责人 Aaron Costello 表示，很多 SuiteCommerce 安装都存在这一问题，造成记录在未经授权的情况下被调用。

“根据我最初的调查，已有几千个公开的 SuiteCommerce 网站受到影响，” Costello 解释道。

他指出，许多使用 NetSuite 的组织在购买实例时并不知道默认的公共网站已经被部署，而这些组织并无意创建商业商店。

具体而言，Costello 透露，许多网站对 API 调用存在漏洞，允许未经授权的用户提取客户记录。这让威胁行为者可能通过创建 HTML 请求来获取用户记录，通常包括地址和联系方式等信息。

“在 NetSuite 中，最常用的执行个人记录操作的 API 是 record API，” Costello 说。

“该 API 暴露的功能允许执行各种 CRUD 操作，客户侧便可轻松访问。”

不过，AppOmni 提醒，解决这一问题并不简单。Costello 表示，很多客户可能甚至未意识到他们的网站已经受到威胁者的攻击，因为在许多情况下，收集日志信息非常困难。

“不幸的是，NetSuite 并未提供现成的交易日志用于确定这些客户端 API 是否被恶意使用，” Costello 解释道。

“如果你怀疑你的组织可能成为攻击的受害者，且该攻击模式与本文讨论的内容相似，我们建议联系 NetSuite 支持并请求原始日志数据。”

问题描述配置漏洞多个网站的配置不当，导致客户数据暴露API 安全性未经授权的用户可通过 API 调用获取用户记录日志信息获取困难NetSuite 不提供直观的交易日志来追踪恶意使用应对措施建议联系 NetSuite 支持并请求获取原始日志数据以进行调查

对企业而言，认识到数据泄露风险不仅是保护客户信息的必要措施，也是履行法律和道德责任的重要部分。请务必审查您网站的配置，确保所有设置都是安全的。