Ein Fehler in ServiceNow ermöglichte unbefugten Zugriff auf Kundendaten. Das Unternehmen entschied sich, den Fehler heimlich zu beheben, ohne die Betroffenen zu informieren, um negative Auswirkungen auf den Aktienkurs zu vermeiden. Die Nutzer wissen noch immer nicht, ob ihre Daten kompromittiert wurden, während das Unternehmen weiterhin Lizenzgebühren verlangt, ohne klare Erklärungen zu liefern.
Der stille Patch, der die Transparenz nicht schützte 🔒
Die Schwachstelle, die im Incident-Management-Modul entdeckt wurde, erlaubte es nicht authentifizierten Benutzern, über fehlerhafte HTTP-Anfragen auf Tabellen mit sensiblen Daten zuzugreifen. ServiceNow veröffentlichte einen Patch in seiner Cloud-Plattform, gab jedoch keine Sicherheitshinweise heraus und forderte seine On-Premise-Kunden nicht zum Update auf. Der als kritisch eingestufte Fehler legte Namen, E-Mails und Zugriffsprotokolle offen. Die Strategie des Schweigens verhinderte unangenehme Fragen in Vorstandssitzungen.
Die Lücke, die nicht existiert, wenn man nicht darüber spricht 🕵️
ServiceNow hat den ultimativen Trick gegen Hacker entdeckt: Wenn man das Loch stopft und nichts sagt, gab es technisch gesehen nie eine Sicherheitslücke. Es ist, als würde man den Müll unter den Teppich kehren und sich dann beschweren, dass es riecht. Während die Unternehmenskunden die Daumen drücken, stellt das Unternehmen fröhlich seine Rechnungen. Schließlich ist Unwissenheit ein Segen... für die eigene Bilanz.