針對SaaS服務而來的資安事故，突顯這類系統已成為駭客偏好下手的目標，而且影響範圍往往相當廣泛。例如，今年6月資安業者Mandiant揭露鎖定Snowflake用戶的大規模資料竊取及勒索行動，傳出售票平臺TicketMaster、電信業者AT&T都因此受害。這類平臺潛在的資安弱點，也成為研究人員近年來關注的焦點。

資安業者AppOmni指出，Oracle旗下的雲端ERP平臺NetSuite廣泛存在用戶配置錯誤的情況，有可能導致敏感的客戶資料在數千個網站上曝露。這項問題存在於名為SuiteCommerce電商網站元件，起因是自訂記錄類型（Custom Record Types，CRT）的存取控制錯誤組態造成。對此，研究人員呼籲，系統管理員應加強CRT項目的存取控制，避免敏感資料的欄位可被公開存取，並考慮將受影響的網站下線，以防止資料外洩的危機。Oracle也針對研究人員的發現引入額外措施，防止資料不慎洩露給未經身分驗證的用戶，他們也提供最佳實作供IT人員參考。

NetSuite是以SaaS服務提供的ERP平臺，其中相當受到歡迎的功能，就是結合了名為SuiteCommerce、SiteBuilder的功能，讓企業能部署購物網站，而這些網站建置於NetSuite租戶的子網域，使用者可在未經身分驗證的情況下瀏覽購物網站，或是通過相關流程購買商品。由於NetSuite整合了電子商務營運及供應鏈管理等功能，從而簡化、自動化訂單處理流程，並減少企業庫存管理所需的心力。

由於NetSuite以SaaS服務型式提供，他們發現與過往揭露的ServiceNow、Salesforce弱點情況相當類似，攻擊者有機會在未經身分驗證的情況下，從建置於NetSuite的公開網站竊取資料，根據調查，有數千個公開的SuiteCommerce受到影響。

研究人員指出，採用這套ERP系統但無意建置購物網站的企業，很有可能不會注意到系統根據採購情形已設置了預設的庫存網站，而且這個網站還是能夠公開存取。而根據他們的觀察，這些網站最常曝露的敏感資料，就是能夠識別已註冊客戶的個人資料（PII），這當中通常包含完整的地址與行動電話號碼。