In einem zunächst nur über einen eingeschränkten Knowledge-Base-Artikel verbreiteten Hinweis hatte ServiceNow erklärt, ungewöhnliche Aktivitäten im Zusammenhang mit einem „Sicherheitsproblem“ erkannt zu haben. Das Unternehmen bezeichnete den Vorfall dabei zunächst nicht ausdrücklich als Schwachstelle. Beschrieben wurde aber, dass das Problem mehr Zugriff als vorgesehen ermöglichen könne und dass ein unbefugter Nutzer bestimmte Tabellen in den Instanzen eines Teils der Kunden abfragen konnte.

Die technische Beschreibung blieb anfangs knapp. ServiceNow erklärte lediglich, das Sicherheitsupdate ändere die Konfiguration eines Endpunkts, damit der Zugriff auf authentifizierte Nutzer begrenzt werde. Das Update wurde am 5. Juni auf gehostete Kundeninstanzen angewendet.

Nach Angaben des Unternehmens betrifft das Problem Kunden, die das Plattform-Release Australia einsetzen, oder Kunden, die auf Versionen vor Australia bestimmte Konfigurationsänderungen an ihren Instanzen vorgenommen haben. ServiceNow erklärte dazu, dass für Kunden ohne direkte Benachrichtigung derzeit kein Handlungsbedarf bestehe, da bei deren Instanzen keine entsprechende Aktivität beobachtet worden sei.

In einem später veröffentlichten, öffentlich zugänglichen Sicherheitshinweis präzisierte ServiceNow seine Einschätzung. Auf Grundlage der bisherigen Untersuchung gehe das Unternehmen davon aus, dass die beobachteten Aktivitäten Sicherheitsforschern oder von Kunden durchgeführter Forschung zuzurechnen seien. ServiceNow erklärte, Kunden hätten am 3. und 4. Juni 2026 Meldungen an ihre Bug-Bounty-Programme zu einem Sicherheitsproblem geteilt, das unter bestimmten Umständen einem nicht authentifizierten Nutzer unerwünschten Zugriff auf Informationen in ServiceNow-Instanzen ermöglichen konnte. Diese Einreichungen seien einer vertraulichen Meldung ähnlich gewesen, die am 22. April 2026 an das eigene Bug-Bounty-Programm von ServiceNow gesendet worden sei.

Zudem teilte das Unternehmen mit, es stehe mit den Forschern in Kontakt. Diese hätten erklärt, dass ihre Aktivitäten ausschließlich der Einreichung in Bug-Bounty-Programmen gedient hätten und „keine Daten genutzt oder gespeichert wurden“. Am 7. Juni 2026 hätten außerdem zwei Sicherheitsforscher einen Bericht an das Bug-Bounty-Programm von ServiceNow übermittelt. Die Untersuchung laufe weiter und müsse noch zusätzlich validiert werden. Weil sich die Forschung über mehrere Organisationen erstreckt habe, könnten einige Kunden ähnliche Bug-Bounty-Meldungen von denselben Forschern erhalten haben.

Ensar Seker, CISO bei SOCRadar, sagte gegenüber Dark Reading, solche Situationen seien vergleichsweise selten, aber nicht ohne Vorbild. Die meisten Bug-Bounty-Forscher verstünden und respektierten die Grenzen von Programmen, weil ihr Ruf, ihre künftige Teilnahme und mögliche Prämien davon abhingen, sich an die Regeln zu halten. In großen Cloud-Umgebungen könne die Grenze zwischen legitimer Sicherheitsforschung und nicht autorisierten Tests jedoch mitunter verschwimmen, besonders wenn Forscher einen Weg entdecken, der unerwartet über das eigentliche Ziel hinausführt oder Zugriff auf Produktionsressourcen offenlegt.

Ein Sprecher von ServiceNow sagte Dark Reading außerdem, das Unternehmen habe das Sicherheitsupdate für gehostete Kunden eingespielt und betroffene Kunden direkt benachrichtigt. Der Umfang der betroffenen Kundengruppe sei „nicht groß“ gewesen.