Krytyczna luka w brytyjskim systemie Companies House ujawniła dane osobowe dyrektorów ponad 5 milionów zarejestrowanych firm. Wyciek, który wyszedł na jaw w ubiegły piątek, umożliwił nieuprawniony dostęp do poufnych informacji, w tym dat urodzenia i adresów domowych.
Charakter luki
Problem dotyczył systemu Companies House WebFiling, czyli platformy służącej do oficjalnej rejestracji firm i wprowadzania zmian w ich danych. Prosty exploit – cofając się w systemie o cztery kroki będąc autoryzowanym użytkownikiem – pozwolił na przeglądanie, a nawet zmianę danych innych firm, w tym danych kontaktowych dyrektorów.
Badacz Ghost Mail, John Hewitt, jako pierwszy odkrył tę lukę i zgłosił ją do Companies House. Źródła problemu można doszukiwać się w aktualizacji wprowadzonej w październiku ubiegłego roku.
Konsekwencje i reakcja
Companies House natychmiast zawiesiła usługę WebFiling po wykryciu luki i przywróciła ją w poniedziałek po wdrożeniu poprawki. Agencja zachęca wszystkie zarejestrowane firmy do sprawdzenia swoich danych, aby upewnić się, że nie nastąpiły nieuprawnione zmiany.
Dyrektor generalny Andy King podkreślił, że chociaż luka istnieje, obecnie nie ma potwierdzonych dowodów na nadużycie danych. Jednakże dochodzenie jest w toku przy wsparciu Biura Komisarza ds. Informacji (ICO) i Krajowego Centrum Bezpieczeństwa Cybernetycznego (NCSC).
Dlaczego to jest ważne
Ten incydent uwydatnia ciągłe ryzyko naruszeń danych w systemach rządowych. Ujawnione informacje mogą zostać wykorzystane do kradzieży tożsamości, ataków typu phishing lub atakowania kadry kierowniczej firmy. Łatwość, z jaką luka została spowodowana, podkreśla potrzebę dokładnych testów bezpieczeństwa i terminowych aktualizacji infrastruktury krytycznej.
„Ujawnienie takich danych osobowych budzi poważne obawy co do ochrony kadry kierowniczej i integralności brytyjskiego rejestru korporacyjnego” – skomentował zaznajomiony z tą sprawą ekspert ds. cyberbezpieczeństwa.
Companies House podjęła kroki w celu powstrzymania wycieku, ale incydent ten stanowi wyraźne przypomnienie, że nawet systemy krytyczne mogą być podatne na ataki.
