Un fallo in ServiceNow ha permesso l'accesso non autorizzato ai dati dei clienti. L'azienda ha scelto di correggere l'errore in segreto, senza informare i soggetti coinvolti, per evitare che la notizia influenzasse la sua quotazione in borsa. Gli utenti ancora ignorano se le loro informazioni siano state compromesse, mentre la società continua a fatturare le licenze senza fornire spiegazioni chiare.
La patch silenziosa che non ha protetto la trasparenza 🔒
La vulnerabilità, rilevata nel modulo di gestione degli incidenti, consentiva a utenti non autenticati di accedere a tabelle con dati sensibili tramite richieste HTTP malformate. ServiceNow ha rilasciato una patch sulla sua piattaforma cloud, ma non ha emesso avvisi di sicurezza né ha richiesto ai clienti on-premise di aggiornare. Il difetto, classificato come critico, ha esposto nomi, email e registri di accesso. La strategia del silenzio ha evitato domande scomode nei consigli di amministrazione.
La violazione che non esiste se non la racconti 🕵️
ServiceNow ha scoperto il trucco definitivo contro gli hacker: se sistemi il buco e non dici niente, tecnicamente non c'è mai stata una violazione. È come nascondere la spazzatura sotto il tappeto e poi lamentarsi che puzza. Mentre i clienti aziendali incrociano le dita, l'azienda fattura felice. Dopotutto, l'ignoranza è una benedizione... per il suo conto economico.