Une faille dans ServiceNow a permis un accès non autorisé aux données des clients. L'entreprise a choisi de corriger l'erreur en secret, sans informer les personnes concernées, afin d'éviter que la nouvelle n'impacte son cours en bourse. Les utilisateurs ignorent encore si leurs informations ont été compromises, tandis que la société continue de facturer ses licences sans fournir d'explications claires.
Le correctif silencieux qui n'a pas protégé la transparence 🔒
La vulnérabilité, détectée dans le module de gestion des incidents, permettait à des utilisateurs non authentifiés d'accéder à des tables contenant des données sensibles via des requêtes HTTP mal formées. ServiceNow a déployé un correctif sur sa plateforme cloud, mais n'a émis aucun avis de sécurité ni exigé à ses clients sur site de mettre à jour. La faille, classée comme critique, a exposé des noms, des e-mails et des journaux d'accès. La stratégie du silence a évité des questions embarrassantes lors des conseils d'administration.
La brèche qui n'existe pas si on n'en parle pas 🕵️
ServiceNow a découvert l'astuce ultime contre les hackers : si vous réparez le trou et ne dites rien, techniquement, il n'y a jamais eu de brèche. C'est comme cacher la poussière sous le tapis et ensuite se plaindre de la mauvaise odeur. Pendant que les clients entreprises croisent les doigts, l'entreprise facture joyeusement. Après tout, l'ignorance est une bénédiction... pour son compte de résultats.