Kerentanan keamanan kritis dalam sistem Companies House di Inggris telah mengungkap data pribadi direktur di lebih dari 5 juta bisnis terdaftar. Pelanggaran tersebut, yang terungkap Jumat lalu, memungkinkan akses tidak sah terhadap informasi sensitif, termasuk tanggal lahir dan alamat tempat tinggal.
Sifat Cacat
Cacatnya terletak pada sistem WebFiling Companies House, platform yang digunakan untuk pendaftaran dan pembaruan resmi perusahaan. Eksploitasi sederhana—menavigasi kembali sistem sebanyak empat kali saat login—memungkinkan pengguna melihat dan bahkan mengubah detail perusahaan lain, termasuk informasi kontak direktur.
John Hewitt, peneliti di Ghost Mail, pertama kali mengidentifikasi kerentanan tersebut dan melaporkannya ke Companies House. Masalah ini dapat ditelusuri kembali ke pembaruan yang diterapkan pada bulan Oktober tahun lalu.
Dampak dan Respon
Companies House dengan cepat menangguhkan layanan WebFiling setelah ditemukannya kelemahan tersebut dan memulihkannya pada hari Senin setelah menerapkan perbaikan. Badan tersebut sekarang mendesak semua perusahaan yang terdaftar untuk memverifikasi rincian mereka, memastikan tidak ada perubahan yang tidak sah yang dilakukan.
CEO Andy King menekankan bahwa meskipun terdapat kerentanan, saat ini tidak ada bukti pasti mengenai penyalahgunaan data. Namun, penyelidikan yang sedang berlangsung sedang dilakukan, dengan dukungan dari Kantor Komisaris Informasi (ICO) dan Pusat Keamanan Siber Nasional (NCSC).
Mengapa Ini Penting
Insiden ini menyoroti risiko pelanggaran data yang terus-menerus terjadi dalam sistem yang dikelola pemerintah. Informasi yang terekspos dapat dimanfaatkan untuk pencurian identitas, penipuan phishing, atau pelecehan yang menargetkan pimpinan perusahaan. Mudahnya kelemahan ini dipicu menggarisbawahi perlunya pengujian keamanan yang ketat dan pembaruan proaktif pada infrastruktur penting.
“Pengungkapan data pribadi tersebut menimbulkan kekhawatiran besar mengenai perlindungan para pemimpin bisnis dan integritas pencatatan perusahaan di Inggris,” komentar seorang analis keamanan siber yang mengetahui kasus tersebut.
Companies House telah mengambil tindakan untuk membendung pelanggaran tersebut, namun insiden ini menjadi pengingat bahwa sistem penting pun bisa rentan terhadap eksploitasi.
