Облачная платформа ServiceNow объяснила всплеск ложных тревог

ServiceNow устранила уязвимость в своей платформе и выяснила, что аномальная активность была связана с действиями исследователей в рамках программ bug bounty, а не с атакой злоумышленников. Компания сообщила клиентам об аномальной активности в закрытой статье базы знаний 9 июня 2026 года. В ней говорится о выявленной проблеме безопасности. ServiceNow не назвала её уязвимостью, однако позже выяснилось, что она могла дать доступ к большему объёму данных, чем изначально прогнозировали разработчики. Неавторизованный пользователь смог выполнить запрос к таблицам инстансов части клиентов, которые используют платформу ServiceNow.

Проблема затронула клиентов, которые работают на версии платформы ServiceNow Australia, а также тех, кто менял конфигурацию более ранних релизов этой платформы. Компания заметила подозрительные обращения к клиентским инстансам на своей платформе и сообщила, что таких случаев было немного. Организация напрямую уведомила клиентов, у которых обнаружила такую активность.

5 июня 2026 года компания ServiceNow установила обновление безопасности на клиентские инстансы, которые размещены на стороне компании. Это обновление изменило настройки эндпоинта на платформе ServiceNow, сделав возможным доступ только для аутентифицированных пользователей. После установки обновления неавторизованные пользователи больше не могли обращаться к таблицам инстансов через этот эндпоинт.

3–4 июня 2026 года часть клиентов получила отчёты об уязвимости через свои программы bug bounty. Эти отчёты описывали проблему в платформе ServiceNow, которая в некоторых случаях могла дать неавторизованному пользователю доступ к данным в инстансах на этой платформе. Похожий конфиденциальный отчёт поступил в программу bug bounty компании ServiceNow 22 апреля 2026 года.

7 июня 2026 года двое исследователей безопасности отправили отчёт в программу bug bounty компании ServiceNow. Расследование показало, что аномальная активность была связана с действиями этих исследователей или клиентов, которые проводили собственные проверки на платформе ServiceNow. Исследователи сказали, что действовали в рамках программ bug bounty и не использовали и не сохраняли данные, к которым получили доступ.

Независимые исследования безопасности, в том числе в рамках программ bug bounty, важны для сферы информационной безопасности. В таких программах возможны ситуации, когда активность исследователей принимают за действия злоумышленников. В то же время злоумышленники иногда выдают себя за исследователей или специалистов по тестированию на проникновение.

По словам директора по информационной безопасности компании SOCRadar Энсара Шекера, такие случаи редки, но уже происходили. Он отметил, что участники bug bounty обычно соблюдают правила этих программ, потому что от этого зависят их репутация и будущие проекты. Однако в крупных облачных средах граница между разрешённым тестированием и несанкционированным доступом иногда размывается, особенно когда исследователь находит путь, который неожиданно выводит проверку за пределы согласованной области.