Утечка данных в ServiceNow: уязвимость в API скомпрометировала клиентов – Veri Sızıntısı
Live
Поиск
Компания
О нас Слово основателя Пресса и СМИ Политика конфиденциальности Условия использования FAQ Пресс-кит
Продукты
HUBOne HUBCorp Скоро Veri Sızıntısı Android Скоро Veri Sızıntısı iOS Скоро Veri Sızıntısı Huawei Скоро Breach Radar Argus Flow Argus Engine LivePlatform
Технологии
Что такое Argus AI? Попробовать в HUBOne Что такое Argus Flow? Что такое Argus Engine?
Блог Контакты

Уязвимость в API ServiceNow привела к утечке данных

Гигант облачных вычислений ServiceNow подтвердил инцидент безопасности, в ходе которого злоумышленники использовали уязвимость в конечной точке API, не требующей аутентификации, что позволило им запрашивать данные клиентов. Инцидент ставит серьезные вопросы о надежности платформы.

Логотип ServiceNow на фоне серверной комнаты с предупреждающим знаком.

Что произошло

Сегодня мир кибербезопасности потрясла новость об ударе по одному из крупнейших игроков. Гигант в области корпоративных облачных вычислений ServiceNow объявил об инциденте безопасности на своих платформах. Согласно заявлению, злоумышленники получили доступ к данным клиентов, воспользовавшись конечной точкой API, не требующей аутентификации — по сути, незапертой дверью. Этот инцидент — нечто большее, чем простая утечка данных. ServiceNow функционирует как центральная нервная система для крупнейших мировых компаний, управляя их ИТ-операциями, обслуживанием клиентов и рабочими процессами. Несанкционированный доступ в эту систему может затронуть не только одну компанию, но и всю ее экосистему.

Первоначальная информация от компании весьма скупа, что типично для таких ситуаций. Пока юристы и пиарщики тщательно подбирают слова, мы, журналисты и эксперты по безопасности, пытаемся читать между строк. На данный момент известно, что злоумышленники смогли запрашивать данные из «инстансов» клиентов — их частных рабочих пространств. Ключевое слово здесь — «запрашивать». Это не обязательно означает, что все данные были скопированы, но указывает на то, что атакующие могли извлекать конкретную интересующую их информацию. Это похоже на то, как вор проникает в дом не для того, чтобы вынести все на грузовике, а чтобы забрать только шкатулку с драгоценностями и сейф. Более целенаправленно, скрытно и сложнее для обнаружения.

Пока неясно, когда начался инцидент, как долго он продолжался и как долго злоумышленники сохраняли доступ. Эта неопределенность — настоящий кошмар для клиентов ServiceNow. Их данные утекают уже неделю или месяцы? Ответы на эти вопросы определят серьезность инцидента и масштабы потенциального ущерба.

Ваш email в утечке? Проверьте бесплатно — результат за секунды.

Проверить →

Какие данные были скомпрометированы

Так что же именно попало в руки злоумышленников? ServiceNow уклоняется от конкретики, заявляя лишь, что «данные в инстансах клиентов были запрошены». Но мы знаем, какие данные хранятся на платформе ServiceNow. Эта платформа — цифровое сердце компании. Давайте перечислим возможные типы скомпрометированных данных:

  • Информация о сотрудниках: Личные и конфиденциальные данные, такие как имена, адреса электронной почты, номера телефонов, отделы, должности и, возможно, даже оценки производительности. Эта информация — золотая жила для фишинговых атак.
  • Заявки в службу поддержки (тикеты): Проблемы, с которыми сталкиваются клиенты компании, конфиденциальная информация, которой они делятся в связи с этими проблемами (номера счетов, личные жалобы и т. д.), и внутренняя переписка. Эти данные могут стать бесценным источником разведданных для конкурирующих фирм.
  • Информация об управлении ИТ-активами: Список всех серверов, компьютеров, программного обеспечения и сетевых устройств компании. Детали, такие как используемая версия ПО, могут стать дорожной картой для злоумышленников для эксплуатации других уязвимостей.
  • Записи об инцидентах и проблемах: Полная информация о внутренних нарушениях безопасности, технических проблемах и других инцидентах. По сути, это документ, прямо раскрывающий слабые места компании.
  • Данные о рабочих процессах и проектах: Информация о конфиденциальных проектах компании, финансовом планировании и стратегических дорожных картах. Сложно представить более плодотворный источник для промышленного шпионажа.

Как видите, ситуация довольно серьезная. Трудно даже представить, насколько сложные и разрушительные атаки могут спланировать злоумышленники, объединив эти данные. Злоумышленник, знающий имя, должность сотрудника и недавно открытую им заявку в ИТ-поддержку, может создать невероятно убедительное фишинговое письмо. Это уже не просто утечка данных; это событие, закладывающее основу для бесчисленных будущих атак.

Как произошла атака

Объясним без технических сложностей. Каждая современная программная платформа использует так называемые API (интерфейсы прикладного программирования) для взаимодействия с другим программным обеспечением. Каждая из этих «дверей» (конечная точка API) в норме должна иметь механизм аутентификации, работающий как охранник. Он спрашивает «кто вы?» у каждого, кто стучится, и не впускает без правильного пароля или ключа.

В случае с ServiceNow у одной из этих дверей охранника не было. Именно это и означает «уязвимость неаутентифицированного доступа». Злоумышленники могли обнаружить эту уязвимость с помощью автоматизированных инструментов, которые постоянно сканируют интернет в поисках таких открытых дверей. Или, более изощренным методом, они могли найти эту лазейку, проанализировав код платформы. Результат один: то, что многомиллиардная компания пренебрегла одним из самых основных правил безопасности, непростительно.

Такого рода уязвимость часто возникает из-за спешки в процессе разработки или пропущенной ошибки конфигурации. Возможно, разработчик временно отключил аутентификацию для тестирования, а затем забыл включить ее снова. Какова бы ни была причина, эта ситуация еще раз показывает, как человеческая ошибка или недостаток процессов могут привести к катастрофическим последствиям даже в крупнейших технологических компаниях.

Личность злоумышленников пока неизвестна. Это группа, спонсируемая государством, банда вымогателей или просто киберпреступник, обнаруживший и продавший уязвимость? Детальный криминалистический анализ, который проведет ServiceNow, возможно, даст ответ на этот вопрос. Однако обычно такие следы искусно скрываются.

Кто пострадал

Список клиентов ServiceNow похож на список Fortune 500. Платформой пользуются гигантские компании практически из всех секторов, включая банковское дело, здравоохранение, технологии, розничную торговлю и государственные учреждения. Компания не опубликовала список пострадавших клиентов. Вместо этого было сделано стандартное заявление о том, что они «находятся в прямом контакте с пострадавшими клиентами».

Эта ситуация оставляет все компании, использующие ServiceNow, в состоянии неопределенности. Если вы еще не получили уведомление, означает ли это, что вас не затронуло, или ServiceNow просто еще не связалась с вами? Или, что еще хуже, они не смогли обнаружить взлом в вашем инстансе? Эта двусмысленность является серьезным источником стресса для команд безопасности компаний. Все спешат проверить свои системы, чтобы выяснить, есть ли какая-либо необычная активность. Этот инцидент также подчеркивает, насколько опасны атаки на цепочки поставок. Независимо от того, насколько вы защищаете свои собственные системы, ошибка доверенного партнера может поставить под угрозу все ваши данные.

Что вы можете сделать

Если вы являетесь клиентом ServiceNow, забудьте о банальных советах вроде «смените пароль». Шаги, которые вам нужно предпринять, гораздо более конкретны и срочны:

  1. Немедленно проверьте логи: Ваша команда безопасности должна немедленно проанализировать журналы доступа к API вашего инстанса ServiceNow. Ищите в первую очередь неаутентифицированные или подозрительные запросы к API. Проанализируйте весь трафик к конкретной конечной точке API, которая, как сообщается, была использована. Аномально большие запросы данных, запросы из странных географических мест или интенсивная активность в нерабочее время — это тревожные сигналы.
  2. Следите за бюллетенями безопасности ServiceNow: ServiceNow, вероятно, опубликует кодовое имя (например, номер CVE) и технические подробности этой уязвимости. Найдите этот бюллетень и убедитесь, затрагивает ли уязвимость используемую вами версию. Немедленно примените необходимые исправления и обновления. Не ждите.
  3. Проведите собственную оценку ущерба: Не ждите, пока ServiceNow сообщит вам, что «ваши данные могли быть скомпрометированы». Вы лучше них знаете, какие конфиденциальные данные хранятся на вашей платформе. Проведите анализ рисков. Рассмотрите наихудший сценарий: если ваши данные о сотрудниках и клиентах, детали проектов были украдены, каковы будут юридические, финансовые и репутационные последствия? Подготовьте план кризисных коммуникаций.
  4. Предупредите своих пользователей: Предупредите своих сотрудников и, возможно, клиентов о потенциальных фишинговых атаках, которые могут последовать за этой утечкой. Посоветуйте им быть особенно осторожными с электронными письмами, которые якобы приходят от ServiceNow или касаются внутренних процессов.

Что говорит компания

Официальное заявление от ServiceNow, как и ожидалось, тщательно составлено и имеет успокаивающий тон. Компания заявила, что «безопасность является нашим высшим приоритетом» и что они «приняли немедленные меры для устранения этой проблемы после ее обнаружения». Они также подчеркнули, что «тесно сотрудничают с небольшим числом пострадавших клиентов» и что «нет никаких доказательств более широкого воздействия».

Однако, как журналист в области кибербезопасности, я всегда читаю такие заявления с долей скептицизма. Что означает «небольшое число клиентов»? Пять? Пятьдесят? Пятьсот? Обычно это число оказывается намного выше, чем компания признает изначально. Фраза «нет более широкого воздействия» также довольно расплывчата. То, что злоумышленники могут сделать с этими данными, со временем и выявит это «более широкое воздействие». В настоящее время компания занимается минимизацией ущерба и пытается снизить свою юридическую ответственность. Истинная картина станет ясна в ближайшие недели и месяцы благодаря выводам независимых исследователей безопасности и, возможно, появлению украденных данных в даркнете.

Источник

https://www.bleepingcomputer.com/news/security/servicenow-discloses-security-incident-exposing-customer-data/

Поделиться статьёй
X LinkedIn WhatsApp
← Предыдущая статья SoFi в Гонконге стала жертвой своего поставщика Следующая статья → Ваш ИИ-ассистент попался на фишинговую уловку

Еженедельная рассылка

Отборные новости об утечках данных каждую неделю в вашем почтовом ящике.