Scoperta shock: migliaia di siti NetSuite di Oracle espongono dati sensibili dei clienti
Le errate configurazioni sono ancora una volta la causa delle fughe di dati
I ricercatori hanno scoperto una vulnerabilità nella piattaforma di ecommerce SuiteCommerce di Oracle Netsuite che potrebbe consentire agli attori delle minacce di rubare dati sensibili dai siti web.
Un rapporto di AppOmni ha rivelato che la vulnerabilità deriva da controlli di accesso non correttamente configurati nelle istanze di SuiteCommerce, in particolare all'interno dei tipi di record personalizzati (CRT) - tabelle create dai clienti aziendali di SuiteCommerce.
Queste tabelle contengono solitamente dati critici sui clienti e informazioni sulle operazioni aziendali. I malintenzionati che riescono ad accedere a questi dati possono rubare indirizzi dei clienti, numeri di telefono, cronologia degli ordini e altro ancora.
Lavorare su una correzione
Secondo i ricercatori di AppOmni, la vulnerabilità potrebbe mettere a rischio molte piccole e medie imprese, che raramente dispongono delle risorse necessarie per identificare e risolvere bug come questo.
La buona notizia è che NetSuite ha già riconosciuto le scoperte di AppOmni e si dice che stia lavorando a una patch. Ha anche detto a tutti gli utenti di SuiteCommerce di rivedere le impostazioni di sicurezza e di applicare le best practice suggerite, in quanto è il modo corretto di proteggere le CRT contro gli attori delle minacce e altri utenti non autenticati.
"Nel corso della mia attività di ricerca sulla sicurezza SaaS, è sempre più chiaro che l'esposizione di dati non autenticati attraverso le applicazioni SaaS è tra le principali minacce per le aziende", ha scritto Aaron Costello, responsabile della ricerca sulla sicurezza SaaS di AppOmni, nella sua analisi. "Inoltre, man mano che i fornitori introducono funzionalità sempre più complesse nei loro prodotti per rimanere competitivi, questi rischi diventeranno ancora più diffusi".
Costello è convinto che le organizzazioni faranno fatica ad affrontare questi problemi, poiché spesso vengono scoperti "solo attraverso una ricerca su misura", per la quale molte aziende non hanno il tempo o il denaro necessario.
Sei un professionista? Iscriviti alla nostra Newsletter
Iscriviti alla newsletter di Techradar Pro per ricevere tutte le ultime notizie, opinioni, editoriali e guide per il successo della tua impresa!
Ciò è particolarmente vero per le grandi aziende "che hanno reso operative diverse applicazioni SaaS aziendali per soddisfare diverse esigenze nelle loro linee di business".
Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.