A gigante da computação em nuvem **ServiceNow** confirmou um incidente de segurança envolvendo uma vulnerabilidade explorada que concedeu acesso não autorizado a instâncias de clientes. A empresa implementou uma atualização de segurança urgente em 5 de junho de 2026 para corrigir a falha. "A atualização dizia respeito a uma questão de segurança que poderia permitir que um usuário não autenticado, em certas circunstâncias, obtivesse maior acesso às instâncias da ServiceNow do que o pretendido", declarou a **ServiceNow** em um aviso, que requer acesso do cliente para detalhes completos.  ### Detalhes da Vulnerabilidade Surgem A vulnerabilidade, que atualmente não possui um identificador **CVE**, chamou a atenção pública pela primeira vez através de uma discussão no **Reddit**. A atualização de segurança modificou a configuração de um endpoint para restringir esse acesso elevado apenas a usuários autenticados. A **ServiceNow** relatou ter detectado atividade anômala relacionada à questão, observando consultas bem-sucedidas a tabelas de instância contra um "subconjunto de clientes". Clientes afetados foram notificados diretamente. ### Instâncias Alvo e Conhecimento Prévio De acordo com a **ServiceNow**, o problema de segurança afetou principalmente clientes na "plataforma de lançamento da Austrália" ou aqueles que haviam feito alterações específicas de configuração em instâncias de versões anteriores. Curiosamente, um usuário do **Reddit** chamado "d3s7iny" alegou que sua equipe de segurança havia relatado a vulnerabilidade à **ServiceNow**, afirmando que a empresa estava ciente do problema desde 7 de abril de 2026. Por aproximadamente dois meses, o problema foi supostamente classificado como não urgente, com a remediação prevista para uma atualização futura. ### Exploração Confirmada e Submissões de Bug Bounty A **ServiceNow** desde então reconheceu publicamente o incidente, confirmando que "um subconjunto de instâncias de clientes foi consultado com sucesso como parte dessa atividade". A atividade maliciosa supostamente começou em 2 de junho de 2026. O aviso da empresa observou ainda: "Em 3-4 de junho de 2026, clientes compartilharam submissões em seus programas de bug bounty sobre uma questão de segurança que poderia, em certas circunstâncias, permitir que um usuário não autenticado obtivesse acesso indesejado a informações em instâncias da **ServiceNow**. Essas submissões eram semelhantes a uma submissão confidencial enviada ao nosso programa de bug bounty em 22 de abril de 2026." Um porta-voz da **ServiceNow** enfatizou que sua "principal prioridade era entrar em contato diretamente com o subconjunto de clientes que este [incidente] afetou, não foi amplo."