ServiceNow Təhlükəsizlik Pozuntusu: API Zəifliyi Müştəri Məlumatlarını Sızdırdı – Veri Sızıntısı
Live
Sorğu
Korporativ
Haqqımızda Qurucunun notu Mətbuat & Media Məxfilik siyasəti İstifadə şərtləri TSS Mətbuat Kiti
Məhsullar
HUBOne HUBCorp Tezliklə Veri Sızıntısı Android Tezliklə Veri Sızıntısı iOS Tezliklə Veri Sızıntısı Huawei Tezliklə Breach Radar Argus Flow Argus Engine LivePlatform
Texnologiyalar
Argus AI Nədir? HUBOne'da sına Argus Flow nədir? Argus Engine Nədir?
Bloq Əlaqə

ServiceNow API Zəifliyi Müştəri Məlumatlarını Təhlükəyə Atıb

Bulud texnologiyaları nəhəngi ServiceNow, autentifikasiya tələb etməyən bir API son nöqtəsindəki zəifliyin hücumçular tərəfindən istismar edildiyini və müştəri məlumatlarının sorğulanmasına səbəb olduğunu təsdiqləyib. Hadisə platformanın etibarlılığı ilə bağlı ciddi suallar yaradır.

ServiceNow loqosu və arxa planda xəbərdarlıq nişanı olan bir server otağı təsviri.

Nə Baş Verdi

Bu gün kiber-təhlükəsizlik dünyası ən böyük oyunçulardan birinin aldığı zərbə ilə sarsıldı. Korporativ bulud texnologiyaları nəhəngi ServiceNow, platformalarında bir təhlükəsizlik pozuntusu yaşandığını ictimaiyyətə açıqladı. Açıqlamaya görə, hücumçular autentifikasiya tələb etməyən, yəni sanki qapısı kilidlənməmiş bir API son nöqtəsindən istifadə edərək müştəri məlumatlarına giriş əldə ediblər. Bu hadisə sadə bir məlumat sızmasından daha artığıdır. Çünki ServiceNow, dünyanın ən böyük şirkətlərinin İT əməliyyatlarını, müştəri xidmətlərini və iş axınlarını idarə etdiyi mərkəzi bir sinir sistemi kimi fəaliyyət göstərir. Bu sistemə icazəsiz bir giriş təkcə bir şirkəti deyil, o şirkətin bütün ekosistemini təsir altına alma potensialına malikdir.

Şirkətdən gələn ilk məlumatlar olduqca məhduddur, bu cür hallarda adətən belə olur. Hüquq və ictimaiyyətlə əlaqələr departamentləri hər bir sözü diqqətlə seçərkən, biz jurnalistlər və təhlükəsizlik mütəxəssisləri sətirlər arasını oxumağa çalışırıq. Hələlik bilinən odur ki, hücumçular bu açıq qapıdan istifadə edərək müştəri "instance" adlanan xüsusi iş sahələrindəki məlumatları sorğulaya biliblər. "Sorğulamaq" feli burada əsas məqamdır. Bu, məlumatların tamamilə kopyalandığı mənasını verməyə bilər, lakin hücumçuların istədikləri xüsusi məlumatları çəkib götürə bildiklərini göstərir. Bu, bir oğrunun evə girib bütün əşyaları yük maşınına yükləməsi əvəzinə, yalnız zinət əşyaları qutusunu və seyfi götürüb çıxması kimidir. Daha hədəfli, daha hiyləgər və aşkarlanması daha çətindir.

Hadisənin nə vaxt başladığı, nə qədər davam etdiyi və hücumçuların bu girişi nə qədər müddət əllərində saxladıqları hələ də qeyri-müəyyəndir. Bu qeyri-müəyyənlik, ServiceNow müştəriləri üçün ən böyük kabusdur. Görəsən məlumatları bir həftədir sızır, yoxsa aylar olub? Bu sualların cavabı, hadisənin ciddiliyini və potensial zərərin miqyasını müəyyən edəcək.

E-poçtunuz sızdırılıb? Pulsuz yoxlayın — saniyələr içində nəticə.

İndi Yoxla →

Ələ Keçirilən Məlumatlar

Bəs, hücumçular tam olaraq nəyə çatıblar? ServiceNow, bu mövzuda detallı məlumat verməkdən çəkinir və yalnız "müştəri nümunələrindəki məlumatların sorğulandığını" bildirir. Amma biz ServiceNow platformasında hansı növ məlumatların saxlandığını bilirik. Bu platforma bir şirkətin sanki rəqəmsal ürəyi kimidir. Mümkün sızdırılmış məlumat növlərini siyahıya alaq:

  • İşçi Məlumatları: Adlar, e-poçt ünvanları, telefon nömrələri, departamentlər, vəzifələr və hətta bəlkə də performans qiymətləndirmələri kimi şəxsi və həssas məlumatlar. Bu məlumatlar, fişinq hücumları üçün əsl qızıl mədənidir.
  • Müştəri Dəstək Sorğuları (Ticket'lər): Şirkət müştərilərinin qarşılaşdığı problemlər, bu problemlərlə bağlı paylaşdıqları həssas məlumatlar (hesab nömrələri, şəxsi şikayətlər və s.) və şirkət daxili yazışmalar. Bu məlumatlar rəqib firmalar üçün əvəzsiz bir kəşfiyyat mənbəyi ola bilər.
  • İT Varlıq İdarəetmə Məlumatları: Şirkətin sahib olduğu bütün serverlərin, kompüterlərin, proqram təminatlarının və şəbəkə cihazlarının siyahısı. Hansı proqram təminatının hansı versiyasının istifadə edildiyi kimi detallar, hücumçuların başqa zəiflikləri istismar etməsi üçün bir yol xəritəsi çəkə bilər.
  • Hadisə və Problem Qeydləri: Şirkət daxilində yaşanan təhlükəsizlik pozuntuları, texniki problemlər və digər hadisələrə dair bütün detallar. Bu, şirkətin zəif nöqtələrini birbaşa ifşa edən bir sənəd xarakteri daşıyır.
  • İş Axını və Layihə Məlumatları: Şirkətin məxfi layihələri, maliyyə planları və strateji yol xəritələri haqqında məlumatlar. Sənaye casusluğu üçün bundan daha səmərəli bir mənbə düşünmək olmaz.

Gördüyünüz kimi, vəziyyət olduqca ciddidir. Hücumçuların bu məlumatları bir araya gətirərək nə qədər mürəkkəb və dağıdıcı hücumlar planlaya biləcəyini təsəvvür etmək belə çətindir. Bir işçinin adını, vəzifəsini və bu yaxınlarda açdığı bir İT dəstək sorğusunu bilən bir hücumçu, son dərəcə inandırıcı bir fişinq e-poçtu hazırlaya bilər. Bu, artıq yalnız bir məlumat sızması deyil, gələcəkdəki saysız-hesabsız hücumun da təməlini qoyan bir hadisədir.

Hücum Necə Həyata Keçirildi

Texniki detallara varmadan izah edək. Hər bir müasir proqram platforması, digər proqramlarla əlaqə qurmaq üçün API (Tətbiq Proqramlaşdırma İnterfeysi) adlanan qapılardan istifadə edir. Bu qapıların hər birinin (API endpoint) normalda bir təhlükəsizlik işçisi kimi fəaliyyət göstərən bir autentifikasiya mexanizminə sahib olması lazımdır. Yəni qapını döyənə "kimsən?" deyə soruşur və düzgün parol və ya açarı almadan içəri buraxmır.

ServiceNow hadisəsində isə, bu qapılardan birində təhlükəsizlik işçisi olmayıb. "Autentifikasiya tələb etməyən giriş zəifliyi" tam olaraq bu deməkdir. Hücumçular, interneti davamlı olaraq bu cür açıq qapılar üçün skan edən avtomatlaşdırılmış alətlərdən istifadə edərək bu zəifliyi kəşf etmiş ola bilərlər. Yaxud daha mürəkkəb bir üsulla, platformanın kodlarını təhlil edərək bu boşluğu tapmış da ola bilərlər. Nəticə dəyişmir: milyardlarla dollarlıq bir şirkətin ən təməl təhlükəsizlik qaydalarından birini ötürməsi bağışlanmazdır.

Bu cür bir zəiflik, adətən inkişaf prosesindəki bir tələskənlikdən və ya nəzərdən qaçan bir konfiqurasiya səhv'indən qaynaqlanır. Bəlkə də bir proqramçı, sınaq məqsədilə bu autentifikasiyanı müvəqqəti olaraq deaktiv etdi və sonra yenidən aktivləşdirməyi unutdu. Səbəb nə olursa olsun, bu vəziyyət, ən böyük texnologiya şirkətlərində belə insan səhvinin və ya proses çatışmazlığının nə qədər böyük fəlakətlərə yol aça biləcəyini bir daha göstərir.

Hücumçuların kim olduğu isə hələlik məlum deyil. Bu, rəqib bir dövlətin dəstəklədiyi bir qrupdurmu, fidyə proqramı dəstəsidirmi, yoxsa sadəcə zəifliyi kəşf edib satan bir kiber-cinayətkardırmı? ServiceNow-un aparacağı detallı məhkəmə-tibbi analizləri, bəlkə də bu suala bir cavab tapa bilər. Ancaq adətən bu cür izlər ustalıqla gizlədilir.

Kimlər Təsir Altındadır

ServiceNow-un müştəri siyahısı, Fortune 500 siyahısı kimidir. Bankçılıq, səhiyyə, texnologiya, pərakəndə satış və dövlət qurumları da daxil olmaqla, demək olar ki, hər sektordan nəhəng şirkətlər bu platformadan istifadə edir. Şirkət, hansı müştərilərin təsirləndiyinə dair bir siyahı dərc etməyib. Bunun əvəzinə, "təsirlənən müştərilərlə birbaşa əlaqə saxlanıldığı" şəklində standart bir açıqlama verilib.

Bu vəziyyət, ServiceNow istifadəçisi olan bütün şirkətləri bir qeyri-müəyyənlik içində qoyur. Əgər sizə hələ bir bildiriş gəlməyibsə, bu təsirlənmədiyiniz anlamına gəlir, yoxsa ServiceNow hələ sizə çata bilməyib? Yaxud daha pisi, pozuntunu fərq edə bilməyib? Bu qeyri-müəyyənlik, şirkətlərin təhlükəsizlik komandaları üçün böyük bir stress mənbəyidir. Hər kəs öz sistemlərini yoxlayıb, qeyri-adi bir fəaliyyətin olub-olmadığını anlamağa çalışır. Bu hadisə, təchizat zənciri hücumlarının nə qədər təhlükəli olduğunu da göstərir. Siz öz sistemlərinizi nə qədər təhlükəsiz etsəniz də, etibar etdiyiniz bir iş tərəfdaşınızın səhvi üzündən bütün məlumatlarınız təhlükəyə girə bilər.

Nə Edə Bilərsiniz

Əgər bir ServiceNow müştərisisinizsə, "parolunuzu dəyişdirin" kimi klişe tövsiyələri bir kənara qoyun. Etməli olduğunuz şeylər daha konkret və təcili:

  1. Dərhal Logları Yoxlayın: Təhlükəsizlik komandanız dərhal ServiceNow instance'ınızın API giriş loglarını diqqətlə araşdırmalıdır. Xüsusilə autentifikasiya edilməmiş və ya şübhəli görünən API sorğularını axtarın. Hücumçuların istifadə etdiyi deyilən o xüsusi API son nöqtəsinə yönəlmiş bütün trafiki təhlil edin. Anormal dərəcədə böyük məlumat sorğuları, qəribə coğrafi yerlərdən gələn istəklər və ya iş saatlarından kənar intensiv fəaliyyətlər qırmızı bayraqdır.
  2. ServiceNow Təhlükəsizlik Bülletenini İzləyin: ServiceNow, bu zəiflik üçün yəqin ki, bir kod adı (CVE nömrəsi kimi) və texniki detallar dərc edəcək. Bu bülleteni tapın və zəifliyin sizin istifadə etdiyiniz versiyaya təsir edib-etmədiyini təsdiqləyin. Lazımi yamaqları və yeniləmələri dərhal tətbiq edin. Gözləməyin.
  3. Öz Zərər Təxmininizi Aparın: ServiceNow-un sizə "bu məlumatlarınız sızmış ola bilər" deməsini gözləməyin. Öz platformanızda hansı həssas məlumatların olduğunu siz onlardan daha yaxşı bilirsiniz. Bir risk təhlili aparın. Ən pis ssenarini düşünün: əgər işçi və müştəri məlumatlarınız, layihə detallarınız sızdırılıbsa, bunun hüquqi, maliyyə və nüfuz baxımından nəticələri nə olar? Buna görə bir böhran kommunikasiya planı hazırlayın.
  4. İstifadəçilərinizi Xəbərdar Edin: İşçilərinizi və bəlkə də müştərilərinizi, bu sızmadan qaynaqlana biləcək potensial fişinq hücumlarına qarşı xəbərdar edin. Xüsusilə ServiceNow-dan gəlirmiş kimi görünən və ya şirkət daxili proseslərlə əlaqəli saxta e-poçtlara qarşı diqqətli olmalarını söyləyin.

Şirkət Nə Deyir

ServiceNow tərəfindən verilən rəsmi açıqlama, gözlənildiyi kimi diqqətlə hazırlanmış və sakitləşdirici bir tona malikdir. Şirkət, "təhlükəsizliyin ən böyük prioritetləri olduğunu" və "bu hadisəni aşkar etdikdən sonra dərhal hərəkətə keçərək zəifliyi aradan qaldırdıqlarını" bildirdi. Həmçinin, "təsirlənən az sayda müştəri ilə yaxından işlədiklərini" və "hadisənin daha geniş bir təsirinin olmadığını" vurğuladılar.

Ancaq bir kiber-təhlükəsizlik müxbiri olaraq bu cür açıqlamaları hər zaman bir az şübhə ilə oxuyuram. "Az sayda müştəri" ifadəsi nə deməkdir? Beş? Əlli? Beş yüz? Adətən bu rəqəm, şirkətin başlanğıcda etiraf etdiyindən daha çox olur. "Daha geniş bir təsir yoxdur" ifadəsi də olduqca qeyri-müəyyəndir. Hücumçuların bu məlumatlarla nələr edə biləcəyi, o "geniş təsiri" zamanla ortaya çıxaracaq. Şirkət hazırda zərərin idarə olunması ilə məşğuldur və hüquqi məsuliyyətlərini minimuma endirməyə çalışır. Həqiqi mənzərə, gələcək həftələr və aylarda, müstəqil təhlükəsizlik tədqiqatçılarının tapıntıları və bəlkə də sızdırılmış məlumatların qaranlıq şəbəkədə satışa çıxarılması ilə aydınlaşacaq.

Mənbə

https://www.bleepingcomputer.com/news/security/servicenow-discloses-security-incident-exposing-customer-data/

Bu Məqaləni Paylaş
X LinkedIn WhatsApp
← Əvvəlki Yazı SoFi Hong Kong Təchizatçı Qurbanı Oldu Növbəti Yazı → Süni İntellekt Köməkçiniz Fişinq Tələsinə Düşdü

Həftəlik Bülten

Hər həftə seçilmiş məlumat pozuntusu xəbərləri gələn qutunuza çatdırılsın.