أخطرت شركة ServiceNow، إحدى أكبر مزودي خدمات الحوسبة السحابية للمؤسسات، عددًا من عملائها بوجود ثغرة برمجية في منصتها كانت تسمح بالوصول إلى بعض البيانات المخزنة على خوادمها عبر الإنترنت دون الحاجة إلى أي بيانات اعتماد أو تسجيل دخول.
ووفقًا لمذكرة دعم فني داخلية نشرتها الشركة وجرى تداولها لاحقًا عبر منصة "ريديت"، قامت "ServiceNow" في 5 يونيو بإصلاح الخلل في بعض بيئات العملاء بعد اكتشاف أنه أتاح لمستخدمين غير مصرح لهم الحصول على مستوى وصول أكبر إلى البيانات المستضافة على المنصة مقارنة بما كان مقصودًا.
وكانت الثغرة تسمح نظريًا لأي شخص على الإنترنت بالوصول إلى بيانات مخزنة داخل بيئات العملاء دون الحاجة إلى كلمة مرور أو أي وسيلة تحقق أخرى، بحسب تقرير نشره موقع "تك كرانش" واطلعت عليه "العربية Business".
وأكدت "ServiceNow" أن الحادث لم يكن نتيجة هجوم إلكتروني أو اختراق نفذه قراصنة، بل جاء نتيجة أنشطة باحثين أمنيين كانوا يبحثون عن ثغرات يمكن الإبلاغ عنها ضمن برنامج مكافآت اكتشاف الثغرات الأمنية (Bug Bounty).
وقالت المتحدثة باسم الشركة، كورتني جونسون، إن التحقيقات الداخلية والتواصل مع الباحثين الأمنيين أظهرا أن عمليات الوصول التي تم رصدها كانت مرتبطة بالباحثين الأمنيين وفرق البحث التابعة للعملاء أنفسهم، وليس بجهات خبيثة.
وأضافت أن الباحثين أكدوا أن نشاطهم اقتصر على أغراض اختبارية مرتبطة بالإبلاغ عن الثغرة، وأنهم لم يستخدموا البيانات التي تمكنوا من الوصول إليها أو يحتفظوا بها.
ورغم ذلك، لم تكشف الشركة عن هوية الباحثين الذين اكتشفوا المشكلة، كما لم توضح عدد العملاء الذين تأثرت بياناتهم أو تم الوصول إليها أثناء فترة وجود الثغرة.
ويثير هذا الحادث تساؤلات بشأن قدرة العملاء على حماية بياناتهم من هذا النوع من المشكلات، خاصة أن الثغرة تبدو ناتجة عن خلل في المنصة نفسها وليس عن خطأ في إعدادات الأمان الخاصة بالعملاء.
وتُعد "ServiceNow" من أكبر شركات البرمجيات السحابية المخصصة لأتمتة العمليات المؤسسية، حيث تعتمد عليها آلاف الشركات حول العالم لإدارة سير العمل والموارد البشرية وخدمات تقنية المعلومات والدعم الفني والعديد من العمليات الداخلية الأخرى.
وتكمن خطورة أي ثغرة في هذه المنصات في حجم البيانات الحساسة التي تحتفظ بها، والتي قد تشمل تذاكر الدعم الفني ومفاتيح الوصول والاعتمادات الرقمية وكلمات المرور والمعلومات التشغيلية الحساسة.
وأوضحت "ServiceNow" أن المشكلة تتعلق بالعملاء الذين يستخدمون إصدار أستراليا من المنصة، إلا أن عدة مستخدمين على "ريديت" أشاروا إلى أنهم رصدوا مؤشرات على وجود عمليات وصول خارجية استهدفت أيضًا نسخًا أخرى من البرنامج.
كما تداول مختصون في الأمن السيبراني عنوان IP هو 51.159.98.241 باعتباره مؤشرًا محتملاً على عمليات الوصول المرتبطة بالثغرة، ونصحوا مسؤولي الشبكات بمراجعة سجلات الأنظمة للتحقق من ظهور هذا العنوان ضمن أنشطة الوصول السابقة.
وتواصل "ServiceNow" تحقيقاتها لتحديد نطاق التأثير الكامل للحادثة والتأكد من عدم استغلال الثغرة من قبل جهات خبيثة قبل إغلاقها بشكل نهائي.
ووفقًا لمذكرة دعم فني داخلية نشرتها الشركة وجرى تداولها لاحقًا عبر منصة "ريديت"، قامت "ServiceNow" في 5 يونيو بإصلاح الخلل في بعض بيئات العملاء بعد اكتشاف أنه أتاح لمستخدمين غير مصرح لهم الحصول على مستوى وصول أكبر إلى البيانات المستضافة على المنصة مقارنة بما كان مقصودًا.
وكانت الثغرة تسمح نظريًا لأي شخص على الإنترنت بالوصول إلى بيانات مخزنة داخل بيئات العملاء دون الحاجة إلى كلمة مرور أو أي وسيلة تحقق أخرى، بحسب تقرير نشره موقع "تك كرانش" واطلعت عليه "العربية Business".
وأكدت "ServiceNow" أن الحادث لم يكن نتيجة هجوم إلكتروني أو اختراق نفذه قراصنة، بل جاء نتيجة أنشطة باحثين أمنيين كانوا يبحثون عن ثغرات يمكن الإبلاغ عنها ضمن برنامج مكافآت اكتشاف الثغرات الأمنية (Bug Bounty).
وقالت المتحدثة باسم الشركة، كورتني جونسون، إن التحقيقات الداخلية والتواصل مع الباحثين الأمنيين أظهرا أن عمليات الوصول التي تم رصدها كانت مرتبطة بالباحثين الأمنيين وفرق البحث التابعة للعملاء أنفسهم، وليس بجهات خبيثة.
وأضافت أن الباحثين أكدوا أن نشاطهم اقتصر على أغراض اختبارية مرتبطة بالإبلاغ عن الثغرة، وأنهم لم يستخدموا البيانات التي تمكنوا من الوصول إليها أو يحتفظوا بها.
ورغم ذلك، لم تكشف الشركة عن هوية الباحثين الذين اكتشفوا المشكلة، كما لم توضح عدد العملاء الذين تأثرت بياناتهم أو تم الوصول إليها أثناء فترة وجود الثغرة.
ويثير هذا الحادث تساؤلات بشأن قدرة العملاء على حماية بياناتهم من هذا النوع من المشكلات، خاصة أن الثغرة تبدو ناتجة عن خلل في المنصة نفسها وليس عن خطأ في إعدادات الأمان الخاصة بالعملاء.
وتُعد "ServiceNow" من أكبر شركات البرمجيات السحابية المخصصة لأتمتة العمليات المؤسسية، حيث تعتمد عليها آلاف الشركات حول العالم لإدارة سير العمل والموارد البشرية وخدمات تقنية المعلومات والدعم الفني والعديد من العمليات الداخلية الأخرى.
وتكمن خطورة أي ثغرة في هذه المنصات في حجم البيانات الحساسة التي تحتفظ بها، والتي قد تشمل تذاكر الدعم الفني ومفاتيح الوصول والاعتمادات الرقمية وكلمات المرور والمعلومات التشغيلية الحساسة.
وأوضحت "ServiceNow" أن المشكلة تتعلق بالعملاء الذين يستخدمون إصدار أستراليا من المنصة، إلا أن عدة مستخدمين على "ريديت" أشاروا إلى أنهم رصدوا مؤشرات على وجود عمليات وصول خارجية استهدفت أيضًا نسخًا أخرى من البرنامج.
كما تداول مختصون في الأمن السيبراني عنوان IP هو 51.159.98.241 باعتباره مؤشرًا محتملاً على عمليات الوصول المرتبطة بالثغرة، ونصحوا مسؤولي الشبكات بمراجعة سجلات الأنظمة للتحقق من ظهور هذا العنوان ضمن أنشطة الوصول السابقة.
وتواصل "ServiceNow" تحقيقاتها لتحديد نطاق التأثير الكامل للحادثة والتأكد من عدم استغلال الثغرة من قبل جهات خبيثة قبل إغلاقها بشكل نهائي.
