{"id":326711,"date":"2026-06-22T13:00:37","date_gmt":"2026-06-22T11:00:37","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=326711"},"modified":"2026-06-22T22:51:17","modified_gmt":"2026-06-22T20:51:17","slug":"security-servicenow-vorfall-fortibleed-nachlese-google-captcha-winke-winke-und-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/06\/22\/security-servicenow-vorfall-fortibleed-nachlese-google-captcha-winke-winke-und-mehr\/","title":{"rendered":"Security: ServiceNow-Vorfall; FortiBleed-Nachlese; Google Captcha \"Winke-Winke\" und mehr"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Heute noch ein kleiner Sammelbeitrag rund um Sicherheitsthemen. Beim Anbieter ServiceNow hat es einen Sicherheitsvorfall gegeben, bei dem Dritte \u00fcber einen ungesicherten API-Zugang auf Kunden-Instanzen zugreifen konnten. Bei FortiBleed gibt es neue Erkenntnisse zu den Angriffen auf die FortiNet-Instanzen. Und bei Google verlangt der Captcha-Zugang nun Winkbewegungen des Nutzers. Derweil fordert die Free Software Foundation die EU-Kommission auf, Google zu zwingen, dass die KI-Modelle unter Android deinstallierbar sein m\u00fcssen.<\/p>\n<p><!--more--><\/p>\n<h2>Sicherheitsvorfall bei ServiceNow<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/7c2da6d781434e759450caf1e524f320\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/de.wikipedia.org\/wiki\/ServiceNow\" target=\"_blank\" rel=\"noopener\">ServiceNow Inc.<\/a> ist ein US-amerikanisches Technologieunternehmen mit Sitz in Santa Clara, Kalifornien. Es bietet mit dem gleichnamigen Produkt eine cloud-basierte L\u00f6sung f\u00fcr das IT-Service-Management an.<\/p>\n<h3>Auf die volle KI-Experience gesetzt<\/h3>\n<p>In der Eigenwerbung hei\u00dft es \"Optimieren Sie Ihre Unternehmensworkflows mit der\u00a0<em>ServiceNow<\/em> AI-Platform in allen Bereichen Ihres Unternehmens \u2013 sowohl f\u00fcr Kunden als auch f\u00fcr Mitarbeiter. [&#8230;] Von HR und Finanzwesen \u00fcber Kundenservice bis Sicherheit \u2013 egal welche Branche und welche Unternehmensgr\u00f6\u00dfe: ServiceNow optimiert Arbeitsabl\u00e4ufe, steigert die Produktivit\u00e4t und bietet optimierte Experiences in jeder Abteilung, damit alle Mitarbeiter besser und effizienter arbeiten k\u00f6nnen.\" KI-Experience wird ganz gro\u00df geschrieben und die Top 500 Unternehmen h\u00e4ngen nat\u00fcrlich bei ServiceNow am Tropf.<\/p>\n<h3>Verdacht auf eine Schieflage<\/h3>\n<p>Mir ist bereits vor einigen Tagen <a href=\"https:\/\/xcancel.com\/whiteintel_io\/status\/2064406414278205903\" target=\"_blank\" rel=\"noopener\">oberer Tweet<\/a> vom 9. Juni 2026 untergekommen, der auf einen m\u00f6glichen Sicherheitsvorfall anspielt. Die Kernaussage:\u00a0Der Anbieter hat zum 5. Juni 2026 einen Sicherheitsvorfall erlitten, bei dem\u00a0Angreifer eine Schwachstelle in der nicht authentifizierten REST-API ausnutzten, um auf Kundeninstanzen zuzugreifen und Kundendaten abzufragen.<\/p>\n<p>Benachrichtigungen, die ServiceNow-Kunden erhielten, besagte, dass \u00fcber eine verd\u00e4chtige IP-Adresse, die auf mehrere Kunden-Tenants zugegriffen worden sei.<\/p>\n<p><a href=\"https:\/\/xcancel.com\/whiteintel_io\/status\/2064406414278205903\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-326712\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/ServiceNow-Incident.jpg\" alt=\"ServiceNow-Incident\" width=\"521\" height=\"583\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/ServiceNow-Incident.jpg 590w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/ServiceNow-Incident-268x300.jpg 268w\" sizes=\"auto, (max-width: 521px) 100vw, 521px\" \/><\/a><\/p>\n<p>Die Ursache scheint ein skriptgesteuerter REST-API-Endpunkt zu sein, der keine Authentifizierung erforderte, da er Aktivit\u00e4ten unter dem Benutzer \u201eGuest\" protokollierte, der \u00fcber kein tats\u00e4chliches Konto verf\u00fcgte, hie\u00df es. Die Ressource befand sich seit mindestens 2018 in diesem Zustand und wurde erst am \"vergangenen Freitag\" (war der 5. Juni 2026) behoben, als ServiceNow das Flag \"<em>requires_authentication<\/em>\" auf \"true\" setzte. Auf reddit.com wurde das in <a href=\"https:\/\/old.reddit.com\/r\/servicenow\/comments\/1u0c45c\/potential_servicenow_breach\/\" target=\"_blank\" rel=\"noopener\">diesem Thead<\/a> heftig diskutiert.<\/p>\n<h3>Offenlegung eines Sicherheitsvorfalls<\/h3>\n<p>Ich hatte es am Rand bei den Kollegen von Bleeping Computer mitbekommen, die am 10. Juni 2026 das <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/servicenow-discloses-security-incident-exposing-customer-data\/\" target=\"_blank\" rel=\"noopener\">Thema aufgegriffen<\/a> haben. Dort hei\u00dft es, dass es auf einem abgeschotteten ServiceNow-Kundenportal eine Sicherheitsinformation \u00fcber einen Cybervorfall gab. Am 5. Juni 2026 sind denen wohl Zugriffe auf Kundensysteme aufgefallen (diese gab es laut reddit.com Diskussion am 2., 3. Juni 2026).<\/p>\n<p>Inzwischen ist die ServiceNow <a href=\"https:\/\/trust.servicenow.com\/notifications\/1205429e-fea3-4cbf-b37b-8cd3a4e07aef\" target=\"_blank\" rel=\"noopener\">Verlautbarung hier \u00f6ffentlich abrufbar<\/a>. Aus dieser geht hervor, dass das Unternehmen bereits im April 2026 von extern Hinweise auf obiges Problem bekam, und dann im Juni 2026 wiederholte Hinweise von Sicherheitsforschern eingingen. Derzeit zieht sich das Unternehmen, so wie ich deren Verlautbarung interpretiere, auf den Punkt zur\u00fcck, dass die Zugriffe von einer IP durch Sicherheitsforscher, die die Schwachstelle erforschten, erfolgte. Also nix wirklich wichtiges passiert. Golem hatte das in diesem Beitrag ebenfalls aufgegriffen<\/p>\n<h2>FortiBleed-Nachlese zum Hack der FortiNet-Instanzen<\/h2>\n<p style=\"text-align: left;\">Zum 18. Juni 2026 hatte ich im Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2026\/06\/18\/fortibleed-administrator-passwoerter-bei-75-000-fortinet-firewalls-geknackt\/\" rel=\"bookmark\">FortiBleed: Administrator-Passw\u00f6rter bei 75.000 Fortinet-Firewalls geknackt<\/a> berichtet, dass Fortinet Firewalls und Gateways im Risiko stehen, weil Zugangsdaten f\u00fcr Administrator-Zug\u00e4nge zirkulieren. Laut <a href=\"https:\/\/thehackernews.com\/2026\/06\/cisa-warns-fortinet-customers-as.html\" target=\"_blank\" rel=\"noopener\">The Hacker News<\/a> warnte die US-Cybersicherheitsbeh\u00f6rde CISA ihre Klientel vor entsprechenden Angriffen.<\/p>\n<h3>Analyse von FortiNet<\/h3>\n<p style=\"text-align: left;\">Zum 19. Juni 2026 hat FortiNet dann die Analyse\u00a0<a href=\"https:\/\/www.fortinet.com\/blog\/psirt-blogs\/analysis-of-reported-credential-compromise-of-fortigate-devices\" target=\"_blank\" rel=\"noopener\">Analysis of Reported Credential Compromise of FortiGate Devices<\/a> mit eigenen Erkenntnissen ver\u00f6ffentlicht. Der Anbieter negiert eine neue Schwachstelle und geht davon aus, dass die Angreifer alte Anmeldedaten aus fr\u00fcheren Vorf\u00e4llen wiederverwenden und Brute-Force-Techniken gegen Ger\u00e4te einsetzen, die \u00fcber eine unzureichende Passwort-Sicherheit verf\u00fcgen sowie keine Multi-Faktor-Authentifizierung (MFA) nutzen.<\/p>\n<h3>Weitere Analysen von SpyCloud und Beaumond<\/h3>\n<p>Inzwischen bin ich auf die <a href=\"https:\/\/spycloud.com\/blog\/what-spycloud-found-inside-the-fortibleed-threat-actor-infrastructure\/\" target=\"_blank\" rel=\"noopener\">Analyse von SpyCloud<\/a> gesto\u00dfen, die im Grunde die FortiNet-Analyse st\u00fctzen. Es scheint wohl eine gro\u00df angelegte Brute-Force-Kampagne gewesen zu sein, die vorhandene Passwortlisten zum Angriff auf Administratorzug\u00e4nge verschiedener Systeme verwendete. In einer Multi-Server-Operation zum Erlangen des Erstzugangs wurden nicht nur Fortinet-VPN-Anmeldungen per Brute-Force-Angriff geknackt. Sondern es gab auch Zugriffe auf andere Konten von Synology-NAS-Ger\u00e4ten, Sophos-Firewalls und MSSQL-Servern. Eine weitere Analyse von Sicherheitsforschern <a href=\"https:\/\/xcancel.com\/MonThreat\/status\/2067963676640809012\" target=\"_blank\" rel=\"noopener\">gibt es hier<\/a>.<\/p>\n<p><a href=\"https:\/\/xcancel.com\/IntCyberDigest\/status\/2068773194387886328\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-326713\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/FortiBleed01.jpg\" alt=\"FortiBleed-Nachlese\" width=\"592\" height=\"862\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/FortiBleed01.jpg 592w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/FortiBleed01-206x300.jpg 206w\" sizes=\"auto, (max-width: 592px) 100vw, 592px\" \/><\/a><\/p>\n<p>Obigem <a href=\"https:\/\/xcancel.com\/IntCyberDigest\/status\/2068773194387886328\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> zufolge haben die\u00a0Angreifer hinter der FortiBleed-Kampagne 36 GPUs bei einem KI-Cloud-Anbieter angemietet, um gestohlene FortiGate-Konfigurations-Hashes im industriellen Ma\u00dfstab zu knacken. Sicherheitsforscher Kevin Beaumont beleuchtet die Kampagne.\u00a0Kevin Beaumont widerspricht der \u00f6ffentlichen Darstellung von Fortinet, wonach es sich bei den Daten lediglich um alte Sicherheitsl\u00fccken und Brute-Force-Angriffe handele.<\/p>\n<p>Der Sicherheitsforscher wird in obigem Tweet so zitiert, dass die Angreifer frisch geknackte Passw\u00f6rter genutzt h\u00e4tten. Bei jedem Unternehmen, dem Beaumont im Rahmen eines Vorfalls geholfen hat, wurden die Konfiguration im Mai 2026 exportiert. In den von Beaumont analysierten F\u00e4llen seien der Angreifer weit \u00fcber das Sammeln von Zugangsdaten hinausgegangen: Der Angreifer f\u00fcgte Admin-Konten hinzu, \u00f6ffnete SSH- und RDP-Firewall-Regeln und loggte sich in IPsec-Tunnel ein, hie\u00df es.<\/p>\n<h2>oAuth-Hacks bei Klue und lange Opferliste<\/h2>\n<p>Klue ist eine KI-gest\u00fctzte Plattform f\u00fcr Competitive Enablement und Win-Loss-Analysen. Sie hilft Unternehmen dabei, Markt- und Wettbewerbsdaten zu sammeln, zu analysieren und f\u00fcr Vertriebs- und Marketingteams aufzubereiten. Die Plattform verkn\u00fcpft interne Unternehmensdaten mit \u00f6ffentlich zug\u00e4nglichen Informationen aus dem Internet.<\/p>\n<p>Das in Vancouver angesiedelte Unternehmen hat zum 19. Juni 2026 einen <a href=\"https:\/\/klue.com\/blog\/an-update-on-recent-klue-security-incident\" target=\"_blank\" rel=\"noopener\">Cybervorfall eingestanden<\/a>. Seit dem 12. Juni 2026 haben Unbefugte auf die Integrationsinfrastruktur von Klue zugegriffen. Das war \u00fcber einen \"veralteten Zugang\" m\u00f6glich. Die Angreifer konnten an OAuth-Token gelangen, die zur Verbindung von Klue mit bestimmten Plattformen wie Salesforce verwendet werden. In Folge konnten die Angreifer dann auf die \u00fcber Klue verbundenen (Salesforce) Kundenumgebungen zugreifen.<\/p>\n<p>Die Opferliste wird nun immer l\u00e4nger, Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social und Tanium sind dabei, wie Techcrunch <a href=\"https:\/\/techcrunch.com\/2026\/06\/22\/klue-hack-results-in-data-breach-at-several-cybersecurity-firms\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> auflistet. Ich habe Listen gesehen, wo auch deutsche Unternehmen aufgef\u00fchrt wurden. Salesforce hat die Integration mit Klue inzwischen unterbrochen, aber das \"das Kind ist in den Brunnen gefallen\".\u00a0 Die Cybergang Icarus hat sich zum Angriff bekannt und will die erbeuteten Daten auf ihrer Leak-Seite ver\u00f6ffentlichen.<\/p>\n<p>Bleeping Computer hat in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/klue-oauth-breach-victim-list-grows-as-icarus-hackers-claim-attack\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> einige Details ver\u00f6ffentlicht. Ich wei\u00df nicht, wie oft ich hier im Blog bereits \u00fcber solche Vorf\u00e4lle berichtet habe, wo Integrationen mit Dritt-App in Sicherheitsvorf\u00e4lle involviert waren. Und mehrfach war Salesforce beteiligt. Irgendwie \"lustig\", wie das oben Beschriebene mal wieder passt &#8211; ob da irgend jemand mal schlauer wird?<\/p>\n<h2>Google Splitter: Android AI bannen; Captcha per \"Winke-Winke\"<\/h2>\n<p>Abschlie\u00dfend noch zwei Informationssplitter aus dem Google-Universum, die ich der Leserschaft nicht vorenthalten m\u00f6chte. Es geht beide Male um Google KI, die ihre Schatten vorauswirft.<\/p>\n<h3>Free Software Foundation fordert AI-Bann bei Android von EU-Kommission<\/h3>\n<p>Google rollt seit einiger Zeit seine AI-Funktionen auf alle Android-Ger\u00e4te aus und als Nutzer hat man alle H\u00e4nde voll zu tun, die Prozesse zu unterbinden. Die Free Software Foundation Europe hat sich nun an die EU-Kommission gewandt. Die <a href=\"https:\/\/zenodo.org\/records\/20730662\" target=\"_blank\" rel=\"noopener\">Forderung lautet<\/a>, dass die EU-Kommission Google zu zwingen soll, dass die in Android ausgerollten AI-Funktionen deinstallierbar werden. Dies hat neowin.net in <a href=\"https:\/\/www.neowin.net\/news\/free-software-foundation-europe-pushes-eu-to-force-google-to-allow-ai-uninstalls-on-android\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> aufgegriffen.<\/p>\n<h3>Google fordert Winken bei Captchas<\/h3>\n<p>Google hat das Problem, dass seine KI die \u00fcblichen Captcha-Erkennungsversuche von KI-L\u00f6sungen nicht mehr abwehren kann. Daher f\u00fchrt man bei der reCaptcha-Erkennung \"Handgesten\" ein. heise hat das Thema <a href=\"https:\/\/www.heise.de\/news\/Googles-reCaptcha-bekommt-Handgestenerkennung-11339773.html\" target=\"_blank\" rel=\"noopener\">hier aufgegriffen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Heute noch ein kleiner Sammelbeitrag rund um Sicherheitsthemen. Beim Anbieter ServiceNow hat es einen Sicherheitsvorfall gegeben, bei dem Dritte \u00fcber einen ungesicherten API-Zugang auf Kunden-Instanzen zugreifen konnten. Bei FortiBleed gibt es neue Erkenntnisse zu den Angriffen auf die FortiNet-Instanzen. Und &hellip; <a href=\"https:\/\/borncity.com\/blog\/2026\/06\/22\/security-servicenow-vorfall-fortibleed-nachlese-google-captcha-winke-winke-und-mehr\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-326711","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326711","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=326711"}],"version-history":[{"count":5,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326711\/revisions"}],"predecessor-version":[{"id":326718,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326711\/revisions\/326718"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=326711"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=326711"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=326711"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}