Een kritiek beveiligingsprobleem in het Britse Companies House-systeem heeft de persoonlijke gegevens van directeuren van meer dan 5 miljoen geregistreerde bedrijven blootgelegd. Het lek, dat afgelopen vrijdag aan het licht kwam, maakte ongeautoriseerde toegang tot gevoelige informatie mogelijk, waaronder geboortedata en woonadressen.
De aard van de fout
De fout zat in het WebFiling-systeem van Companies House, het platform dat wordt gebruikt voor officiële bedrijfsregistraties en updates. Dankzij een eenvoudige exploit – vier keer terug navigeren door het systeem terwijl ze waren ingelogd – konden gebruikers details van andere bedrijven bekijken en zelfs wijzigen, inclusief de contactgegevens van de directeur.
John Hewitt, een onderzoeker bij Ghost Mail, identificeerde eerst de kwetsbaarheid en rapporteerde deze aan Companies House. Het probleem was terug te voeren op een update die in oktober vorig jaar werd geïmplementeerd.
Impact en respons
Companies House heeft de WebFiling-service snel opgeschort na ontdekking van de fout en deze maandag hersteld na het implementeren van een oplossing. Het bureau dringt er nu bij alle geregistreerde bedrijven op aan om hun gegevens te verifiëren, om er zeker van te zijn dat er geen ongeoorloofde wijzigingen zijn aangebracht.
CEO Andy King benadrukte dat hoewel de kwetsbaarheid bestond, er momenteel geen bevestigd bewijs is van gegevensmisbruik. Er is echter een lopend onderzoek aan de gang, met steun van het Information Commissioner’s Office (ICO) en het National Cyber Security Center (NCSC).
Waarom dit belangrijk is
Dit incident benadrukt het aanhoudende risico op datalekken binnen door de overheid beheerde systemen. De blootgestelde informatie kan worden misbruikt voor identiteitsdiefstal, phishing of intimidatie tegen de leiding van het bedrijf. Het gemak waarmee de fout werd geactiveerd onderstreept de noodzaak van rigoureuze beveiligingstests en proactieve updates in kritieke infrastructuur.
“De openbaarmaking van dergelijke persoonlijke gegevens doet grote zorgen rijzen over de bescherming van bedrijfsleiders en de integriteit van het Britse bedrijfsregister”, aldus een cyberbeveiligingsanalist die bekend is met de zaak.
Companies House heeft actie ondernomen om de inbreuk in te dammen, maar het incident herinnert ons eraan dat zelfs essentiële systemen kwetsbaar kunnen zijn voor uitbuiting.
