El equipo de investigadores de AppOmni ha publicado un informe en el que afirman haber identificado más de 1 000 instancias empresariales de ServiceNow mal configuradas que exponen información. En concreto, según los investigadores, los datos expuestos se tratarían de identificación personal, credenciales de usuario y tokens de acceso, entre otros.
Esto pone de relieve la mala aplicación de las actualizaciones de ServiceNow en 2023, que tuvieron como objetivo mejorar las listas de control de acceso pero que no se aplicaron a las que emplean la función de base de conocimiento. AppOmni afirma que la mayoría de las bases de conocimientos de ServiceNow utilizan el sistema de permisos de criterios de usuario en lugar de listas de control de acceso, lo que hace que la actualización sea menos útil.
Los investigadores recomiendan proteger las bases de conocimientos estableciendo los “Criterios de usuario” adecuados (Puede leer/No puede leer) y bloqueando a todos los usuarios no autorizados.
Seguir leyendo [EN]: https://appomni.com/ao-labs/servicenow-knowledge-bases-data-exposures-uncovered/