Auf den Punkt: Ein fehlerhaft konfigurierter API-Endpunkt in ServiceNow ließ unauthentifizierten Zugriff auf Kundentabellen zu — die Behebung verzögerte sich um über sechs Wochen nach der Bug-Bounty-Meldung.
ServiceNow hat eine Sicherheitslücke bestätigt, die es unauthentifizierten Benutzern ermöglichte, über einen falsch konfigurierten REST-API-Endpunkt auf Kundendaten zuzugreifen. Das Sicherheitsupdate kam erst am 5. Juni 2026, obwohl eine Bug-Bounty-Meldung bereits am 22. April eingereicht worden war.
ServiceNow bestätigte, dass ein REST-Endpunkt seiner Plattform keine Authentifizierung verlangte und damit unauthentifizierten Zugriff auf Daten in gehosteten Kundeninstanzen ermöglichte. Angreifer konnten Abfragen gegen Kundentabellen durchführen und auf Informationen zugreifen, die normalerweise nur für angemeldete Nutzer vorgesehen sind. Das Unternehmen wurde durch ungewöhnliche Aktivitäten auf das Problem aufmerksam und informierte betroffene Kunden über sein internes Supportportal.
Das Sicherheitsupdate wurde am 5. Juni 2026 auf alle gehosteten Kundeninstanzen angewendet und konfiguriert den betreffenden Endpunkt so, dass dieser fortan nur noch für authentifizierte Nutzer erreichbar ist. ServiceNow nannte keine Details darüber, welche Kundendaten konkret eingesehen wurden. In typischen ServiceNow-Instanzen befinden sich IT-Supporttickets, Mitarbeiterdaten, interne Dokumentationen sowie sicherheitsrelevante Konfigurationsinformationen.
Eine vertrauliche Bug-Bounty-Einreichung mit der Beschreibung eines vergleichbaren Problems war bereits am 22. April 2026 bei ServiceNow eingegangen. Die Behebung erfolgte erst nach mehr als sechs Wochen — nachdem Aktivitäten gegen Kundeninstanzen beobachtet worden waren. Das Unternehmen hat für die verzögerte Reaktion bislang keine Erklärung gegeben. In einer späteren Stellungnahme bewertete ServiceNow die beobachteten Zugriffe als wahrscheinlich durch Sicherheitsforscher oder Bug-Bounty-Aktivitäten verursacht, nicht durch kriminelle Akteure.
Quelle: www.it-daily.net · Erschienen 11. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.