Популярна міжнародна хмарна платформа для управління бізнес-процесами ServiceNow офіційно оголосила про масштабний інцидент безпеки, пов’язаний із компрометацією конфіденційних даних корпоративних клієнтів. Причиною події стала критична помилка в налаштуваннях безпеки інтерфейсу прикладного програмування – API, який слугує цифровим містком для обміну даними між різними додатками. Зловмисники виявили вразливість в архітектурі конкретного програмного шлюзу /api/now/related_list_edit/create, де параметр обов’язкової перевірки особи користувача був помилково вимкнений. Згідно з відновленою хронологією подій, несанкціонована активність хакерів розпочалася 2 червня 2026 року. Вже 3 та 4 червня незалежні дослідники надіслали компанії офіційні звіти через програми пошуку багів за винагороду, після чого розробники ServiceNow зафіксували аномальні сплески трафіку та підтвердили факт успішного зчитування внутрішніх таблиць даних.

Технічний аналіз показав, що проблема безпосередньо торкнулася клієнтів, які використовували хмарну версію платформи під назвою Australia, або тих організацій, які внесли специфічні індивідуальні зміни до конфігурації попередніх релізів. Використовуючи цю прогалину, зловмисники могли надсилати прямі HTTP-запити до вразливого веб-вузла та витягувати вміст інформаційних баз без введення логінів чи паролів. Прямим наслідком атаки став несанкціонований доступ до внутрішніх інструментів компаній: оскільки ServiceNow використовується для ведення ІТ-підтримки та кадрових питань, скомпрометовані таблиці містили внутрішні технічні квитки, списки персоналу, корпоративну документацію та критичні секрети автентифікації, включаючи токени та тимчасові паролі, що передавалися під час вирішення технічних проблем. Компанія ServiceNow заявила про розгортання примусового виправлення на всіх хостингових майданчиках, що дозволило повернути обов’язкову автентифікацію для API, а також розпочала індивідуальне сповіщення постраждалих організацій через закриті сервісні запити.