Серйозна вразливість у ServiceNow: Доступ до корпоративних даних без пароля
Гігант хмарних технологій ServiceNow повідомив частину своїх корпоративних клієнтів про програмну помилку на своїй платформі, яка дозволяла будь-кому з мережі Інтернет отримати доступ до їхніх даних.
Деталі інциденту
У внутрішній статті бази знань, до якої ServiceNow обмежили доступ, але яка з’явилася на Reddit, зазначено, що компанія 5 червня виправила помилку на певних клієнтських екземплярах. Ця вразливість надавала неавторизованим користувачам “розширений доступ” до даних, що зберігаються на серверах ServiceNow, понад встановлені норми.
По суті, помилка дозволяла потенційно будь-кому отримати доступ до даних, що зберігаються в екземплярах клієнтів, без необхідності будь-якої автентифікації, наприклад, пароля.
Офіційна позиція ServiceNow
ServiceNow повідомила TechCrunch, що цей інцидент безпеки не був хакерською атакою, а результатом діяльності дослідників безпеки, які шукали вразливості для участі в програмах винагород за виявлення помилок (bug bounty).
«Паралельно з нашим власним розслідуванням ми підтримували зв’язок з дослідниками безпеки, які вперше повідомили про цю проблему, і можемо підтвердити, що докази спостережуваної активності походять від цих дослідників безпеки та команд клієнтських досліджень, а не від зловмисників», — заявила речниця ServiceNow Кортні Джонсон. «Дослідники безпеки повідомили, що їхня діяльність була спрямована виключно на подання заявок для bug bounty, і жодні дані не були використані чи збережені».
На запит TechCrunch, ServiceNow не назвала дослідників безпеки одразу, а також не уточнила, дані яких клієнтів були доступні.
Враховуючи, що інцидент безпеки, схоже, виник через помилку, що призвела до витоку даних, залишається незрозумілим, чи могли клієнти захиститися від несанкціонованого доступу до виправлення помилки.
Про платформу ServiceNow
ServiceNow є лідером у сфері хмарних обчислень, надаючи тисячам корпоративних клієнтів інструменти для автоматизації внутрішніх бізнес-процесів. Компанії використовують платформу цього технологічного гіганта для побудови робочих процесів, які інтегруються з різноманітними застосунками та базами даних, такими як IT- та HR-системи. Це дозволяє автоматизувати повторювані завдання, наприклад, процес адаптації нових співробітників, вирішення запитів у службу технічної підтримки та роботу чат-ботів.
Таким чином, компанії, подібні до ServiceNow, є привабливими цілями для хакерів через великий обсяг чутливих даних, які вони зберігають, наприклад, запити до служби підтримки, що можуть містити паролі, ключі доступу та облікові дані.
Географічні аспекти та індикатори доступу
ServiceNow заявила, що проблема стосувалася клієнтських екземплярів, які використовують їхні релізи для Австралії. Однак кілька користувачів на Reddit стверджують, що виявили докази зовнішнього доступу до екземплярів ServiceNow, які працюють на інших версіях програмного забезпечення.
Спеціалісти з мережевої безпеки надали IP-адресу 51.159.98.241, яка, за їхніми словами, може слугувати індикатором потенційного доступу до даних, якщо її буде знайдено в логах клієнта.
(Примітка: Сьомий абзац було виправлено для оновлення посилань на релізи для Австралії, що не пов’язано з географією. Додано коментар від ServiceNow.)
(Примітка: Коли ви здійснюєте покупки за посиланнями в наших статтях, ми можемо отримувати невелику комісію. Це не впливає на нашу редакційну незалежність.)
Порада від КриптоДім:
Ця новина підкреслює критичну важливість своєчасного реагування на повідомлення про вразливості та швидкого їх усунення. Для бізнесу, що користується хмарними рішеннями, це слугує нагадуванням про необхідність постійно моніторити безпеку своїх даних та розуміти політики своїх постачальників послуг щодо кібербезпеки.
Оригінал статті: techcrunch.com