Sicherheitsvorfälle bei ServiceNow und SoFi HK: Die Risiken von API-Fehlkonfigurationen und Drittanbietern
data-breach security servicenow sofi-hk api-security
trending_up Trend: data-breach

Sicherheitsvorfälle bei ServiceNow und SoFi HK: Die Risiken von API-Fehlkonfigurationen und Drittanbietern

calendar_month 10. Juni 2026

Zusammenfassung

Im Juni 2026 wurden zwei bedeutende Sicherheitsvorfälle bekannt: Der IT-Dienstleister ServiceNow und der Online-Broker SoFi Hong Kong erlitten Datenlecks. Während bei ServiceNow eine fehlerhafte API-Konfiguration direkten Zugriff auf Kundendaten erlaubte, lag die Ursache bei SoFi HK bei einem unbefugten Zugriff auf die Datenbank eines Drittanbieters. Beide Vorfälle verdeutlichen die anhaltende Bedrohung durch unzureichend abgesicherte Schnittstellen und Risiken in der Lieferkette (Supply Chain).

Was ist passiert?

Bei ServiceNow führte eine Sicherheitslücke in einem Scripted REST API-Endpunkt (/api/now/related_list_edit/create) dazu, dass der Parameter requires_authentication fälschlicherweise auf false gesetzt war. Dies ermöglichte es nicht authentifizierten Akteuren, Daten direkt aus den Tabellen von Kundeninstanzen abzufragen. ServiceNow schloss die Lücke am 5. Juni 2026 und informierte die Öffentlichkeit am 9. Juni 2026. Betroffen waren primär Instanzen der „Australia“-Plattform sowie spezifisch modifizierte Konfigurationen.

SoFi Hong Kong stellte am 30. April 2026 einen unbefugten Zugriff auf eine Datenbank fest, die von einem externen Dienstleister verwaltet wird. Diese Datenbank enthielt sensible Kundeninformationen. Genaue Details über den Umfang der betroffenen Kunden sowie die Art der abgeflossenen Daten sind Gegenstand laufender Ermittlungen. Dieser Vorfall steht in keinem Zusammenhang mit dem Sicherheitsvorfall bei SoFi Technologies in den USA vom Januar 2026.

Warum es wichtig ist

APIs und Drittanbieter sind die Achillesfersen moderner IT-Infrastrukturen. Ein einziger Konfigurationsfehler in einer API kann sensible Unternehmensdaten schlagartig global exponieren. Gleichzeitig zeigt der Fall SoFi HK, dass die eigene Sicherheitslinie nur so stark ist wie das schwächste Glied in der Kette der Zulieferer. Für Unternehmen sind beide Ereignisse ein Weckruf, ihre API-Sicherheit und die Governance von Drittanbietern grundlegend zu überdenken.

Beweise

Die Sicherheitslücke bei ServiceNow wurde durch anomale Abfragen auffällig. Analysen von Systemprotokollen zeigten, dass unbefugte Abfragen unter anderem von der IP-Adresse 51.159.98.241 stammten. ServiceNow bestätigt den Vorfall und benachrichtigte betroffene Kunden direkt über das Support-Portal. SoFi HK bestätigte den Vorfall offiziell und warnte seine Kunden vor Phishing-Versuchen, da Kundendaten aus der externen Datenbank entwendet wurden.

Analyse

Der Vorfall bei ServiceNow unterstreicht die Gefahren von „Default-to-Open“-Konfigurationen bei APIs. Entwickler müssen sicherstellen, dass standardmäßig strikte Authentifizierungsregeln gelten (Zero Trust API Design). Bei SoFi HK wird das Problem des „Third-Party Risk Management“ (TPRM) deutlich: Unternehmen lagern Daten aus, verlieren dadurch jedoch oft die direkte Kontrolle über deren Sicherheitsstandards.

Praktische Erkenntnisse

  • API-Konfigurationen auditieren: Überprüfen Sie alle Scripted REST APIs und stellen Sie sicher, dass requires_authentication auf true gesetzt ist.
  • Access Control Lists (ACLs) prüfen: Implementieren Sie das Prinzip der minimalen Rechtevergabe (Least Privilege) auf Tabellenebene, damit APIs selbst bei Fehlkonfigurationen nicht das gesamte System kompromittieren.
  • Sicherheitsprotokolle überwachen: Suchen Sie in den Logs nach verdächtigen IP-Adressen und unüblichen Mustern beim API-Zugriff.
  • Drittanbieter-Audits verschärfen: Überprüfen Sie die Sicherheitsstandards und Datenschutzvereinbarungen aller Partner, die Zugriff auf Kunden- oder Unternehmensdaten haben.
  • 2FA und Passwort-Hygiene: Kunden von SoFi HK sollten umgehend ihre Passwörter ändern und die Zwei-Faktor-Authentifizierung (2FA) aktivieren.

Offene Fragen

Bislang bleibt unklar, wie viele ServiceNow-Kunden tatsächlich Opfer von Datenabfragen wurden und welche konkreten Tabellen betroffen waren. Auch bei SoFi HK ist die Identität des betroffenen Drittanbieters sowie die genaue Anzahl und Art der kompromittierten Kundendaten noch nicht vollständig offengelegt.

Quellen

  1. BleepingComputer: ServiceNow API Data Leak
  2. Crypto Briefing: ServiceNow Security Disclosure
  3. Cybernews: ServiceNow Data Exposure Details
  4. SC Media: SoFi Hong Kong Vendor Data Breach