Уязвимость в ServiceNow позволила несанкционированный доступ к данным клиентов. Компания решила исправить ошибку втайне, не уведомив пострадавших, чтобы избежать влияния новости на свою котировку на бирже. Пользователи до сих пор не знают, была ли скомпрометирована их информация, в то время как компания продолжает взимать плату за лицензии, не давая четких объяснений.
Скрытый патч, который не защитил прозрачность 🔒
Уязвимость, обнаруженная в модуле управления инцидентами, позволяла неаутентифицированным пользователям получать доступ к таблицам с конфиденциальными данными через некорректно сформированные HTTP-запросы. ServiceNow выпустила патч для своей облачной платформы, но не опубликовала уведомления о безопасности и не потребовала от своих локальных клиентов обновления. Ошибка, классифицированная как критическая, раскрыла имена, адреса электронной почты и журналы доступа. Стратегия молчания позволила избежать неудобных вопросов на заседаниях советов директоров.
Утечка, которой не существует, если о ней не рассказывать 🕵️
ServiceNow открыла для себя идеальный трюк против хакеров: если залатать дыру и ничего не говорить, технически утечки никогда и не было. Это как спрятать мусор под ковер, а потом жаловаться на неприятный запах. Пока корпоративные клиенты скрещивают пальцы, компания счастливо выставляет счета. В конце концов, неведение — это благо... для ее финансовой отчетности.