ServiceNow dicht lek na data-incident
Enterprise softwareleverancier ServiceNow heeft een beveiligingsupdate uitgerold om een kwetsbaarheid in een API-endpoint te dichten. Via het lek konden ongeauthenticeerde gebruikers data opvragen uit klantomgevingen (instances). Hoewel er abnormale activiteit is waargenomen, wijst ServiceNow in een recente update naar mogelijke ethische hackers in plaats van kwaadwillende actoren.
Getroffen klanten werden in eerste instantie via een afgeschermd supportbulletin en directe supportcases geïnformeerd over het incident. ServiceNow verklaarde dat er op 5 juni 2026 een beveiligingsupdate is doorgevoerd op de gehoste klantomgevingen. Deze update paste de configuratie van het kwetsbare API-endpoint aan, zodat toegang voortaan uitsluitend mogelijk is voor geauthenticeerde gebruikers zo meldt BleepingComputer.
REST-endpoint opengesteld voor publiek
Hoewel ServiceNow zelf geen officiële technische details heeft vrijgegeven, melden systeembeheerders op IT-fora zoals Reddit dat het probleem te herleiden is naar een specifiek REST-endpoint: /api/now/related_list_edit/create. Dit endpoint zou per abuis zijn geconfigureerd met de parameter requires_authentication=false, waardoor externe verzoeken zonder inloggegevens tabellen met klantgegevens konden opvragen. Met de update van afgelopen vrijdag is deze parameter alsnog op true gezet.
Volgens ServiceNow treft het probleem voornamelijk klanten die gebruikmaken van de recente 'Australia'-platformrelease, of organisaties op oudere versies die specifieke handmatige configuratiewijzigingen hebben doorgevoerd.
Gevoelige bedrijfsinformatie en bugbounties
In ServiceNow-omgevingen bewaren bedrijven doorgaans zeer gevoelige bedrijfsinformatie, waaronder:
IT-supporttickets en incidentrapporten
Werknemersgegevens en interne documentatie
Bedrijfsmiddelen-inventarissen (asset management)
API-tokens en inloggegevens die zijn gedeeld tijdens probleemoplossing
In een update op 10 juni 2026 nuanceerde ServiceNow het incident. Het bedrijf stelt dat de waargenomen activiteit vermoedelijk afkomstig is van security-onderzoekers of door klanten geïnitieerde onderzoeken in het kader van bug bounty-programma's.
Opmerkelijk is dat ServiceNow al op 22 april 2026 een vertrouwelijke melding ontving over een vergelijkbaar probleem via zijn eigen bugbountyprogramma. Desondanks werd de officiële beveiligingsupdate pas op 5 juni uitgerold, enkele dagen nadat de eerste geautomatiseerde verzoeken op klantomgevingen werden gesignaleerd. Waarom de uitrol van de pleister ruim een maand op zich liet wachten, is niet bekendgemaakt. Het bedrijf evalueert nog of er een officieel CVE-nummer voor de kwetsbaarheid wordt uitgegeven.
Advies aan beheerders
Systeembeheerders hebben inmiddels diverse indicators of compromise (IoC's) gedeeld. Er wordt geadviseerd om de ServiceNow-logs specifiek te controleren op verzoeken aan /api/now/related_list_edit, met bijzondere aandacht voor het IP-adres 51.159.98.241.
Organisaties die activiteit waarnemen, wordt aangeraden om blootgestelde tickets te controleren op gedeelde geheimen, en eventuele tokens of inloggegevens die in support-workflows zijn gebruikt, direct te roteren.
