Pesquisadores de segurança cibernética estão alertando sobre a descoberta de milhares de sites de e-commerce Oracle NetSuite que estão vulneráveis à exposição de informações sensíveis de clientes. O problema identificado não é uma falha de segurança no produto NetSuite em si, mas sim uma configuração incorreta feita pelos clientes, o que pode levar ao vazamento de dados confidenciais.

A vulnerabilidade, descrita por Aaron Costello da AppOmni, está relacionada à plataforma SuiteCommerce da NetSuite. Segundo o relatório, controles de acesso mal configurados em tipos de registros personalizados (CRTs) permitem que atacantes acessem dados sensíveis. As informações expostas incluem endereços completos e números de telefone de clientes registrados nos sites de e-commerce afetados.

O cenário de ataque explorado pela AppOmni envolve CRTs que utilizam controles de acesso em nível de tabela com o tipo de acesso “No Permission Required”. Isso concede a usuários não autenticados o acesso aos dados por meio das APIs de registro e busca da NetSuite. Para que o ataque seja bem-sucedido, o invasor precisa conhecer o nome dos CRTs em uso no site.

Para mitigar o risco, é recomendado que os administradores dos sites reforcem os controles de acesso nos CRTs, definam campos sensíveis para “Nenhum” acesso público e considerem temporariamente tirar os sites afetados do ar para evitar a exposição de dados.

Essa revelação ocorre ao mesmo tempo em que a Cymulate detalhou uma forma de manipular o processo de validação de credenciais no Microsoft Entra ID (anteriormente conhecido como Azure Active Directory) e contornar a autenticação em infraestruturas de identidade híbridas. Isso permite que atacantes façam login com altos privilégios dentro do inquilino e estabeleçam persistência.