Eine kritische Sicherheitslücke im britischen Companies House-System hat die persönlichen Daten von Geschäftsführern von über 5 Millionen registrierten Unternehmen offengelegt. Der am vergangenen Freitag bekannt gewordene Verstoß ermöglichte den unbefugten Zugriff auf sensible Informationen, darunter Geburtsdaten und Wohnadressen.
Die Natur des Fehlers
Der Fehler lag im WebFiling-System des Companies House, der Plattform, die für offizielle Unternehmensregistrierungen und -aktualisierungen verwendet wird. Ein einfacher Exploit – das viermalige Zurücknavigieren durch das System, während er angemeldet war – ermöglichte es Benutzern, Details anderer Unternehmen anzuzeigen und sogar zu ändern, einschließlich der Kontaktinformationen des Direktors.
John Hewitt, ein Forscher bei Ghost Mail, identifizierte die Schwachstelle zunächst und meldete sie dem Companies House. Das Problem wurde auf ein Update zurückgeführt, das im Oktober letzten Jahres implementiert wurde.
Wirkung und Reaktion
Das Companies House stellte den WebFiling-Dienst umgehend ein, nachdem er den Fehler entdeckt hatte, und stellte ihn am Montag nach Implementierung einer Fehlerbehebung wieder her. Die Agentur fordert nun alle registrierten Unternehmen auf, ihre Angaben zu überprüfen und sicherzustellen, dass keine unbefugten Änderungen vorgenommen wurden.
CEO Andy King betonte, dass die Schwachstelle zwar bestehe, es aber derzeit keine bestätigten Hinweise auf Datenmissbrauch gebe. Es läuft jedoch eine laufende Untersuchung mit Unterstützung des Information Commissioner’s Office (ICO) und des National Cyber Security Center (NCSC).
Warum das wichtig ist
Dieser Vorfall verdeutlicht das anhaltende Risiko von Datenschutzverletzungen in staatlich verwalteten Systemen. Die offengelegten Informationen könnten für Identitätsdiebstahl, Phishing-Betrug oder Belästigung der Unternehmensleitung ausgenutzt werden. Die Leichtigkeit, mit der der Fehler ausgelöst wurde, unterstreicht die Notwendigkeit strenger Sicherheitstests und proaktiver Updates in kritischer Infrastruktur.
„Die Offenlegung solcher personenbezogener Daten wirft erhebliche Bedenken hinsichtlich des Schutzes von Wirtschaftsführern und der Integrität des britischen Unternehmensregisters auf“, kommentierte ein mit dem Fall vertrauter Cybersicherheitsanalyst.
Das Companies House hat Maßnahmen ergriffen, um den Verstoß einzudämmen, aber der Vorfall ist eine deutliche Erinnerung daran, dass selbst wichtige Systeme anfällig für Ausbeutung sein können.
