ServiceNow: chybná konfigurace odhalila zákaznická data, záplata přišla se zpožděním

Pokud vaše firma používá ServiceNow, platformu pro správu IT služeb (tzv. ITSM, tedy systém, kde zaměstnanci hlásí technické problémy, žádají o přístupy a sledují IT požadavky), je tento incident pro vás relevantní.

Co se stalo

ServiceNow aplikoval záplatu 5. června 2026 poté, co detekoval anomální přístup přes špatně nakonfigurovaný API endpoint. API (rozhraní, přes které spolu komunikují různé systémy nebo aplikace) bylo nastaveno chybně, takže nepožadovalo ověření totožnosti uživatele. Kdokoliv s přístupem na tento endpoint mohl číst data z instancí zákazníků bez jakéhokoliv přihlášení.

Stopy incidentu vedou na 2. a 3. června 2026. Záplata tedy přišla s odstupem několika dní od prvních detekcí anomálního provozu.

Jaká data mohla být vystavena

Instance ServiceNow standardně obsahují IT tickety (záznamy o hlášených problémech a požadavcích), záznamy o zaměstnancích a interní dokumenty. Jsou to informace, které organizace standardně chrání přísným přístupovým modelem, a jejich únik může mít dopady jak na bezpečnost infrastruktury, tak na ochranu osobních údajů.

Postižení zákazníci provozující instance na australské platformové verzi nebo se specifickými konfiguracemi mohli mít tato citlivá data vystavena.

Jak probíhalo zveřejnění

Dva výzkumníci incident nahlásili přes bug bounty program (systém odměn za nahlášení bezpečnostních chyb) 7. června, tedy dva dny po aplikaci záplaty. Bezpečnostní bulletin byl zveřejněn až 9. června a pouze za přihlašovací bránou zákaznického portálu. Tento přístup vedl k oprávněné kritice ze strany bezpečnostní komunity za nedostatečnou transparentnost a pozdní komunikaci směrem k dotčeným zákazníkům.

Dopad pro Českou republiku a EU

ServiceNow je rozšířenou platformou pro ITSM ve středních a velkých organizacích, včetně institucí veřejného sektoru. V kontextu GDPR (nařízení o ochraně osobních údajů) a NIS2 (evropská směrnice o kybernetické bezpečnosti) je nutné zdůraznit, že neautentizovaný přístup k datům zaměstnanců nebo IT zákaznické dokumentace naplňuje znaky bezpečnostního incidentu s povinností oznamování.

Organizace, které v relevantním okně provozovaly postižené konfigurace, by měly posoudit, zda jsou povinny incident oznámit příslušnému dozorovému orgánu.

Opožděné a přístupem omezené zveřejnění bulletinu ztěžuje zákazníkům vlastní interní šetření a včasné informování dotčených subjektů, což je v přímém rozporu s požadavky na transparentnost incidentů podle evropského regulatorního rámce.

Doporučení

• Ověřte u ServiceNow, zda vaše instance patřila mezi postižené konfigurace, a vyžádejte si písemné potvrzení s datovým rozsahem případného úniku.
• Zkontrolujte logy API přístupu z 2. a 3. června 2026 pro identifikaci anomálního přístupu z neočekávaných zdrojů.
• Vyhodnoťte povinnost oznámení incidentu dle GDPR (72 hodin od zjištění) a NIS2 vůči příslušnému orgánu; v ČR je tímto orgánem Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
• Auditujte konfiguraci API endpointů ve všech SaaS platformách s přístupem k HR a ITSM datům a zavěďte pravidelné ověřování autentizačních politik.
• Sledujte zákaznický portál ServiceNow pro aktualizace bulletinu a případné rozšíření informací o rozsahu incidentu.

Co z toho plyne

Incident ukazuje, že chybná konfigurace jednoho API endpointu stačí k tomu, aby se citlivá firemní data stala dostupnými bez jakéhokoliv přihlášení. Stejně znepokojivé je pozdní a omezené zveřejnění informací ze strany ServiceNow: organizace, které musí plnit požadavky GDPR nebo NIS2, potřebují včasné a úplné informace, aby mohly samy posoudit svou oznamovací povinnost. Pokud ServiceNow používáte a nejste si jisti svou situací, ozvěte se na office@ciad.cz.

Zdroje:

• BleepingComputer
• The Hacker News