Kritická zranitelnost v britském systému Companies House odhalila osobní údaje ředitelů více než 5 milionů registrovaných podniků. Únik, který vyšel najevo minulý pátek, umožnil neoprávněný přístup k citlivým informacím včetně dat narození a domácích adres.
Povaha zranitelnosti
Problém byl se systémem Companies House WebFiling, platformou sloužící k oficiální registraci firem a provádění změn v jejich datech. Jednoduchý exploit – návrat o čtyři kroky zpět v systému a zároveň autorizovaný uživatel – umožnil prohlížet a dokonce měnit data jiných společností, včetně kontaktních informací na ředitele.
Výzkumník Ghost Mail John Hewitt jako první objevil zranitelnost a nahlásil ji společnosti Companies House. Původ problému byl vysledován v aktualizaci provedené v říjnu minulého roku.
Následky a odezva
Společnost Companies House okamžitě pozastavila službu WebFiling poté, co byla zranitelnost objevena, a obnovila ji v pondělí po implementaci opravy. Agentura vyzývá všechny registrované společnosti, aby zkontrolovaly své údaje, aby se ujistily, že nedošlo k žádným neoprávněným změnám.
Generální ředitel Andy King zdůraznil, že ačkoli zranitelnost existovala, v současné době neexistují žádné potvrzené důkazy o zneužití dat. Vyšetřování však probíhá s podporou úřadu Information Commissioner’s Office (ICO) a Národního centra pro kybernetickou bezpečnost (NCSC).
Proč je to důležité
Tento incident zdůrazňuje přetrvávající riziko narušení dat ve vládních systémech. Odhalené informace by mohly být použity ke krádeži identity, phishingovým útokům nebo cílení na vedení společnosti. Snadnost, s jakou byla zranitelnost způsobena, zdůrazňuje potřebu důkladného testování zabezpečení a včasných aktualizací kritické infrastruktury.
„Zveřejnění takových osobních údajů vzbuzuje vážné obavy o ochranu vedoucích pracovníků a integritu britského podnikového rejstříku,“ uvedl odborník na kybernetickou bezpečnost obeznámený s touto záležitostí.
Společnost Companies House podnikla kroky k omezení úniku, ale incident slouží jako ostrá připomínka, že i kritické systémy mohou být zranitelné vůči zneužití.
