针对SaaS服务而来的资安事故，突显这类系统已成为黑客偏好下手的目标，而且影响范围往往相当广泛。例如，今年6月资安业者Mandiant揭露锁定Snowflake用户的大规模数据窃取及勒索行动，传出售票平台TicketMaster、电信业者AT&T都因此受害。这类平台潜在的资安弱点，也成为研究人员近年来关注的焦点。

资安业者AppOmni指出，Oracle旗下的云端ERP平台NetSuite广泛存在用户配置错误的情况，有可能导致敏感的客户数据在数千个网站上曝露。这项问题存在于名为SuiteCommerce电商网站组件，起因是自订记录类型（Custom Record Types，CRT）的存取控制错误组态造成。对此，研究人员呼吁，系统管理员应加强CRT项目的存取控制，避免敏感数据的字段可被公开存取，并考虑将受影响的网站下线，以防止数据外泄的危机。Oracle也针对研究人员的发现引入额外措施，防止数据不慎泄露给未经身分验证的用户，他们也提供最佳实作供IT人员参考。

NetSuite是以SaaS服务提供的ERP平台，其中相当受到欢迎的功能，就是结合了名为SuiteCommerce、SiteBuilder的功能，让企业能部署购物网站，而这些网站建置于NetSuite租户的子网域，用户可在未经身分验证的情况下浏览购物网站，或是通过相关流程购买商品。由于NetSuite集成了电子商务营运及供应链管理等功能，从而简化、自动化订单处理流程，并减少企业库存管理所需的心力。

由于NetSuite以SaaS服务型式提供，他们发现与过往揭露的ServiceNow、Salesforce弱点情况相当类似，攻击者有机会在未经身分验证的情况下，从建置于NetSuite的公开网站窃取数据，根据调查，有数千个公开的SuiteCommerce受到影响。

研究人员指出，采用这套ERP系统但无意建置购物网站的企业，很有可能不会注意到系统根据采购情形已设置了默认的库存网站，而且这个网站还是能够公开存取。而根据他们的观察，这些网站最常曝露的敏感数据，就是能够识别已注册客户的个人数据（PII），这当中通常包含完整的地址与移动电话号码。