A **ServiceNow**, uma empresa líder em fluxos de trabalho digitais, confirmou um incidente de segurança envolvendo a exploração de um endpoint de API sem autenticação. A vulnerabilidade permitiu que atores não autorizados consultassem dados de instâncias de clientes, levantando preocupações sobre a exposição de informações corporativas sensíveis. ### Divulgação Silenciosa e Correção A empresa abordou a questão discretamente, informando os clientes impactados através de um boletim de suporte e casos de suporte diretos. Essa ação seguiu a detecção de "atividade anômala" ligada à falha. Uma atualização de segurança foi aplicada às instâncias de clientes hospedadas em 5 de junho de 2026. De acordo com o boletim interno, a atualização abordou especificamente uma questão de segurança que poderia conceder a um usuário não autenticado acesso não intencional a instâncias da **ServiceNow**. O cerne da correção envolveu a reconfiguração do endpoint de API afetado para restringir o acesso apenas a usuários autenticados. ### Exploração Confirmada A **ServiceNow** confirmou que atacantes exploraram com sucesso essa falha para consultar tabelas de instâncias de clientes. Embora os dados específicos acessados permaneçam não divulgados, instâncias da **ServiceNow** comumente abrigam uma vasta quantidade de dados corporativos sensíveis, incluindo tickets de suporte de TI, registros de funcionários, documentação interna, inventários de ativos, relatórios de incidentes de segurança e detalhes de configuração para sistemas corporativos. ### O Apelo dos Tickets de Suporte Informações de casos de suporte tornaram-se um alvo principal para atores de ameaças devido ao seu potencial de conter credenciais valiosas, tokens de API, documentação interna e segredos de autenticação frequentemente compartilhados durante processos de solução de problemas. A **ServiceNow** iniciou casos de suporte com todos os clientes afetados identificados. Se uma organização não recebeu tal comunicação, atualmente não se acredita que esteja impactada por este incidente. ### Detalhes Técnicos Emergem da Comunidade Embora a **ServiceNow** não tenha divulgado publicamente os detalhes técnicos da vulnerabilidade, discussões entre administradores no **Reddit** sugerem que a questão está ligada a um endpoint REST localizado em `/api/now/related_list_edit/create`. Membros da comunidade afirmam que este endpoint foi configurado com `requires_authentication=false`, permitindo que requisições não autenticadas acessassem dados da instância. A subsequente atualização de segurança teria definido `requires_authentication` para `true`. Indicadores de comprometimento (IoCs) também foram compartilhados, incluindo requisições de API originadas do endereço IP `51.159.98.241`. Administradores são aconselhados a analisar seus logs em busca de requisições para o endpoint vulnerável. ### Versões Afetadas A questão de segurança afeta principalmente clientes que executam a versão da plataforma **Australia** ou aqueles em versões mais antigas que implementaram alterações de configuração específicas. ### Recomendações para Administradores A **ServiceNow** recomenda que os administradores revisem seus logs em busca de quaisquer requisições para `/api/now/related_list_edit`, particularmente aquelas originadas de `51.159.98.241`. Organizações impactadas também devem: * Revisar tickets e registros expostos em busca de informações sensíveis. * Rotacionar quaisquer credenciais ou tokens que possam ter sido compartilhados através de fluxos de trabalho de suporte. * Garantir que o log de API esteja ativado para aprimorar futuras capacidades de detecção. A **ServiceNow** ainda está avaliando se um **CVE** será publicado para esta questão.