Una grave vulnerabilità di sicurezza nel sistema Companies House del Regno Unito ha esposto i dati personali dei direttori di oltre 5 milioni di aziende registrate. La violazione, venuta alla luce venerdì scorso, ha consentito l’accesso non autorizzato a informazioni sensibili, comprese date di nascita e indirizzi di residenza.
La natura del difetto
Il difetto risiedeva nel sistema WebFiling della Companies House, la piattaforma utilizzata per le registrazioni e gli aggiornamenti ufficiali delle aziende. Un semplice exploit, tornando indietro quattro volte nel sistema mentre si era connessi, consentiva agli utenti di visualizzare e persino modificare i dettagli di altre società, comprese le informazioni di contatto del direttore.
John Hewitt, un ricercatore di Ghost Mail, ha identificato per primo la vulnerabilità e l’ha segnalata alla Companies House. Il problema è stato fatto risalire a un aggiornamento implementato nell’ottobre dello scorso anno.
Impatto e risposta
La Companies House ha sospeso rapidamente il servizio WebFiling non appena ha scoperto il difetto e lo ha ripristinato lunedì dopo aver implementato una correzione. L’agenzia invita ora tutte le aziende registrate a verificare i propri dati, assicurandosi che non siano state apportate modifiche non autorizzate.
Il CEO Andy King ha sottolineato che, sebbene la vulnerabilità esistesse, al momento non ci sono prove confermate di un uso improprio dei dati. Tuttavia, è in corso un’indagine, con il supporto dell’Information Commissioner’s Office (ICO) e del National Cyber Security Center (NCSC).
Perché è importante
Questo incidente evidenzia il rischio persistente di violazioni dei dati all’interno dei sistemi gestiti dal governo. Le informazioni esposte potrebbero essere sfruttate per furti di identità, truffe di phishing o molestie nei confronti della leadership aziendale. La facilità con cui è stata attivata la falla sottolinea la necessità di rigorosi test di sicurezza e aggiornamenti proattivi nelle infrastrutture critiche.
“L’esposizione di tali dati personali solleva notevoli preoccupazioni sulla protezione dei leader aziendali e sull’integrità del registro aziendale del Regno Unito”, ha commentato un analista di sicurezza informatica a conoscenza del caso.
La Companies House è intervenuta per contenere la violazione, ma l’incidente serve a ricordare che anche i sistemi essenziali possono essere vulnerabili allo sfruttamento.
