ServiceNow Sicherheitslücke: API-Fehler legt Kundendaten offen – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

ServiceNow API-Lücke legt Kundendaten offen

Der Cloud-Computing-Riese ServiceNow hat einen Sicherheitsvorfall bestätigt, bei dem Angreifer einen nicht authentifizierten API-Endpunkt ausnutzten, um Kundendaten abzufragen. Der Vorfall wirft ernste Fragen zur Zuverlässigkeit der Plattform auf.

Das ServiceNow-Logo vor einem Serverraum mit einem Warnschild im Hintergrund.

Was ist passiert

Die Welt der Cybersicherheit wurde heute von einem Schlag gegen einen ihrer größten Akteure erschüttert. Der Unternehmens-Cloud-Riese ServiceNow gab eine Sicherheitsverletzung auf seinen Plattformen bekannt. Laut der Erklärung verschafften sich Angreifer Zugang zu Kundendaten, indem sie einen API-Endpunkt ohne Authentifizierung ausnutzten – im Grunde eine unverschlossene Tür. Dieser Vorfall ist weit mehr als ein einfaches Datenleck. ServiceNow fungiert als zentrales Nervensystem für die größten Unternehmen der Welt und verwaltet deren IT-Betrieb, Kundenservice und Arbeitsabläufe. Ein unbefugter Zugriff auf dieses System kann nicht nur ein Unternehmen, sondern sein gesamtes Ökosystem beeinträchtigen.

Die ersten Informationen des Unternehmens sind recht spärlich, wie es in solchen Situationen oft der Fall ist. Während Rechts- und PR-Abteilungen jedes Wort sorgfältig abwägen, versuchen wir Journalisten und Sicherheitsexperten, zwischen den Zeilen zu lesen. Bisher ist bekannt, dass die Angreifer in der Lage waren, Daten aus den „Instanzen“ der Kunden, also deren privaten Arbeitsbereichen, abzufragen. Das Wort „abfragen“ ist hier entscheidend. Es bedeutet möglicherweise nicht, dass alle Daten kopiert wurden, aber es deutet darauf hin, dass die Angreifer gezielt die gewünschten Informationen abrufen konnten. Es ist, als ob ein Einbrecher in ein Haus eindringt, nicht um alles auf einen Lastwagen zu laden, sondern nur um die Schmuckschatulle und den Safe mitzunehmen. Gezielter, heimlicher und schwerer zu entdecken.

Es ist noch unklar, wann der Vorfall begann, wie lange er andauerte oder wie lange die Angreifer diesen Zugang hatten. Diese Ungewissheit ist der größte Albtraum für ServiceNow-Kunden. Sind ihre Daten seit einer Woche oder seit Monaten kompromittiert? Die Antworten auf diese Fragen werden die Schwere des Vorfalls und das Ausmaß des potenziellen Schadens bestimmen.

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →

Welche Daten wurden entwendet

Was genau haben die Angreifer also in die Hände bekommen? ServiceNow vermeidet Details und gibt nur an, dass „Daten in Kundeninstanzen abgefragt wurden“. Aber wir wissen, welche Art von Daten auf der ServiceNow-Plattform gespeichert werden. Diese Plattform ist wie das digitale Herz eines Unternehmens. Lassen Sie uns die möglichen Arten der offengelegten Daten auflisten:

  • Mitarbeiterinformationen: Persönliche und sensible Daten wie Namen, E-Mail-Adressen, Telefonnummern, Abteilungen, Positionen und vielleicht sogar Leistungsbeurteilungen. Diese Informationen sind eine Goldgrube für Phishing-Angriffe.
  • Kundensupport-Tickets: Probleme, die von den Kunden des Unternehmens gemeldet wurden, sensible Informationen, die in diesem Zusammenhang geteilt wurden (Kontonummern, persönliche Beschwerden usw.), und interne Kommunikation. Diese Daten könnten eine unschätzbare Informationsquelle für Konkurrenzunternehmen sein.
  • Informationen zum IT-Asset-Management: Eine Liste aller Server, Computer, Software und Netzwerkgeräte des Unternehmens. Details wie die verwendete Softwareversion können Angreifern einen Fahrplan zur Ausnutzung anderer Schwachstellen liefern.
  • Aufzeichnungen von Vorfällen und Problemen: Vollständige Details zu internen Sicherheitsverletzungen, technischen Problemen und anderen Vorfällen. Dies ist im Wesentlichen ein Dokument, das die Schwachstellen des Unternehmens direkt aufdeckt.
  • Workflow- und Projektdaten: Informationen über vertrauliche Projekte, Finanzplanung und strategische Roadmaps des Unternehmens. Man könnte sich keine fruchtbarere Quelle für Wirtschaftsspionage vorstellen.

Wie Sie sehen, ist die Situation ziemlich ernst. Es ist kaum vorstellbar, welch komplexe und verheerende Angriffe durch die Kombination dieser Daten geplant werden könnten. Ein Angreifer, der den Namen, die Position eines Mitarbeiters und ein kürzlich eröffnetes IT-Support-Ticket kennt, kann eine unglaublich überzeugende Phishing-E-Mail erstellen. Dies ist nicht mehr nur ein Datenleck; es ist ein Ereignis, das den Grundstein für unzählige zukünftige Angriffe legt.

Wie der Angriff geschah

Lassen Sie es uns ohne technisches Kauderwelsch erklären. Jede moderne Softwareplattform verwendet sogenannte APIs (Application Programming Interfaces), also Türen, um mit anderer Software zu kommunizieren. Jede dieser Türen (ein API-Endpunkt) sollte normalerweise über einen Authentifizierungsmechanismus verfügen, der wie ein Sicherheitsbeamter fungiert. Er fragt jeden, der anklopft, „wer sind Sie?“ und lässt niemanden ohne das richtige Passwort oder den richtigen Schlüssel herein.

Im Fall von ServiceNow hatte eine dieser Türen keinen Sicherheitsbeamten. Genau das bedeutet eine „Schwachstelle mit nicht authentifiziertem Zugriff“. Die Angreifer könnten diese Schwachstelle mit automatisierten Tools entdeckt haben, die das Internet ständig nach solchen offenen Türen durchsuchen. Oder, mit einer ausgefeilteren Methode, sie könnten diese Lücke durch die Analyse des Plattformcodes gefunden haben. Das Ergebnis ist dasselbe: Es ist unverzeihlich, dass ein milliardenschweres Unternehmen eine der grundlegendsten Sicherheitsregeln missachtet hat.

Diese Art von Schwachstelle entsteht oft durch Eile im Entwicklungsprozess oder einen übersehenen Konfigurationsfehler. Vielleicht hat ein Entwickler diese Authentifizierung zu Testzwecken vorübergehend deaktiviert und dann vergessen, sie wieder zu aktivieren. Was auch immer der Grund ist, diese Situation zeigt einmal mehr, wie menschliches Versagen oder mangelnde Prozesse selbst bei den größten Technologieunternehmen zu katastrophalen Ausfällen führen können.

Die Identität der Angreifer ist derzeit unbekannt. Handelt es sich um eine staatlich geförderte Gruppe, eine Ransomware-Bande oder nur um einen Cyberkriminellen, der die Schwachstelle entdeckt und verkauft hat? Die detaillierte forensische Analyse durch ServiceNow könnte eine Antwort auf diese Frage liefern. Solche Spuren werden jedoch in der Regel geschickt verwischt.

Wer ist betroffen

Die Kundenliste von ServiceNow liest sich wie die Fortune 500. Riesige Unternehmen aus fast allen Branchen, einschließlich Banken, Gesundheitswesen, Technologie, Einzelhandel und Regierungsbehörden, nutzen diese Plattform. Das Unternehmen hat keine Liste der betroffenen Kunden veröffentlicht. Stattdessen gab es eine Standarderklärung ab, dass sie „in direktem Kontakt mit den betroffenen Kunden“ stünden.

Diese Situation versetzt alle Unternehmen, die ServiceNow nutzen, in einen Zustand der Unsicherheit. Wenn Sie noch keine Benachrichtigung erhalten haben, bedeutet das, dass Sie nicht betroffen sind, oder hat ServiceNow Sie einfach noch nicht erreicht? Oder schlimmer noch, haben sie den Einbruch in Ihrer Instanz nicht bemerkt? Diese Unklarheit ist eine große Belastung für die Sicherheitsteams der Unternehmen. Alle sind damit beschäftigt, ihre eigenen Systeme zu überprüfen, um festzustellen, ob es ungewöhnliche Aktivitäten gibt. Dieser Vorfall zeigt auch, wie gefährlich Angriffe auf die Lieferkette sind. Egal, wie sehr Sie Ihre eigenen Systeme absichern, ein Fehler eines vertrauenswürdigen Partners kann all Ihre Daten gefährden.

Was Sie tun können

Wenn Sie ServiceNow-Kunde sind, vergessen Sie die klischeehaften Ratschläge wie „Ändern Sie Ihr Passwort“. Die Schritte, die Sie unternehmen müssen, sind viel konkreter und dringender:

  1. Protokolle sofort überprüfen: Ihr Sicherheitsteam sollte unverzüglich die API-Zugriffsprotokolle Ihrer ServiceNow-Instanz durchkämmen. Suchen Sie gezielt nach nicht authentifizierten oder verdächtigen API-Abfragen. Analysieren Sie den gesamten Datenverkehr zu dem spezifischen API-Endpunkt, der angeblich ausgenutzt wurde. Ungewöhnlich große Datenabfragen, Anfragen von seltsamen geografischen Standorten oder intensive Aktivitäten außerhalb der Geschäftszeiten sind Warnsignale.
  2. ServiceNow-Sicherheitsbulletins verfolgen: ServiceNow wird wahrscheinlich einen Codenamen (wie eine CVE-Nummer) und technische Details für diese Schwachstelle veröffentlichen. Finden Sie dieses Bulletin und bestätigen Sie, ob die von Ihnen verwendete Version betroffen ist. Installieren Sie die erforderlichen Patches und Updates sofort. Warten Sie nicht.
  3. Eigene Schadensbewertung durchführen: Warten Sie nicht darauf, dass ServiceNow Ihnen mitteilt, dass „Ihre Daten möglicherweise kompromittiert wurden“. Sie wissen besser als sie, welche sensiblen Daten sich auf Ihrer Plattform befinden. Führen Sie eine Risikoanalyse durch. Betrachten Sie das Worst-Case-Szenario: Wenn Ihre Mitarbeiter- und Kundendaten, Projektdetails kompromittiert wurden, was wären die rechtlichen, finanziellen und reputatorischen Konsequenzen? Erstellen Sie entsprechend einen Krisenkommunikationsplan.
  4. Benutzer warnen: Informieren Sie Ihre Mitarbeiter und möglicherweise auch Ihre Kunden über potenzielle Phishing-Angriffe, die aus diesem Leck resultieren könnten. Weisen Sie sie an, besonders vorsichtig bei E-Mails zu sein, die scheinbar von ServiceNow stammen oder sich auf interne Prozesse beziehen.

Was das Unternehmen sagt

Die offizielle Erklärung von ServiceNow ist, wie zu erwarten, sorgfältig formuliert und hat einen beruhigenden Ton. Das Unternehmen erklärte, dass „Sicherheit unsere oberste Priorität ist“ und dass sie „sofort nach Entdeckung Maßnahmen ergriffen haben, um dieses Problem zu beheben“. Sie betonten auch, dass sie „eng mit einer kleinen Anzahl betroffener Kunden zusammenarbeiten“ und dass es „keine Anzeichen für weitreichendere Auswirkungen“ gibt.

Als Cybersicherheitsreporter lese ich solche Aussagen jedoch immer mit einer Prise Skepsis. Was bedeutet „eine kleine Anzahl von Kunden“? Fünf? Fünfzig? Fünfhundert? Diese Zahl stellt sich oft als viel höher heraus, als das Unternehmen anfangs zugibt. Die Formulierung „keine weitreichenderen Auswirkungen“ ist ebenfalls ziemlich vage. Was die Angreifer mit diesen Daten anstellen können, wird diese „weiteren Auswirkungen“ im Laufe der Zeit zeigen. Das Unternehmen befindet sich derzeit im Krisenmanagement und versucht, seine rechtliche Haftung zu minimieren. Das wahre Bild wird sich in den kommenden Wochen und Monaten durch die Ergebnisse unabhängiger Sicherheitsforscher und möglicherweise durch den Verkauf der durchgesickerten Daten im Dark Web klären.

Quelle

https://www.bleepingcomputer.com/news/security/servicenow-discloses-security-incident-exposing-customer-data/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag SoFi Hongkong wird Opfer seines Zulieferers Nächster Beitrag → Ihr KI-Assistent ist auf Phishing hereingefallen

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.