Критическая уязвимость в системе Companies House Великобритании привела к раскрытию личных данных директоров более 5 миллионов зарегистрированных предприятий. Утечка, ставшая известной в прошлую пятницу, обеспечила несанкционированный доступ к конфиденциальной информации, включая даты рождения и домашние адреса.
Сущность Уязвимости
Проблема заключалась в системе WebFiling Companies House — платформе, используемой для официальной регистрации компаний и внесения изменений в их данные. Простой эксплойт — возвращение на четыре шага назад в системе, будучи авторизованным пользователем — позволял просматривать и даже изменять данные других компаний, в том числе контактную информацию директоров.
Исследователь из Ghost Mail, Джон Хьюитт, первым обнаружил уязвимость и сообщил о ней в Companies House. Происхождение проблемы было прослежено до обновления, внедренного в октябре прошлого года.
Последствия и Реакция
Companies House оперативно приостановила работу сервиса WebFiling после обнаружения уязвимости и восстановила его в понедельник после внедрения исправления. Агентство призывает все зарегистрированные компании проверить свои данные, чтобы убедиться в отсутствии несанкционированных изменений.
Генеральный директор Энди Кинг подчеркнул, что, хотя уязвимость существовала, на данный момент нет подтвержденных доказательств злоупотребления данными. Тем не менее, ведется расследование при поддержке Управления комиссара по информации (ICO) и Национального центра кибербезопасности (NCSC).
Почему Это Важно
Этот инцидент подчеркивает постоянный риск утечек данных в правительственных системах. Раскрытая информация может быть использована для кражи личных данных, фишинговых атак или преследования руководителей компаний. Простота, с которой была вызвана уязвимость, подчеркивает необходимость тщательного тестирования безопасности и своевременных обновлений критической инфраструктуры.
«Раскрытие таких личных данных вызывает серьезные опасения по поводу защиты руководителей бизнеса и целостности корпоративного реестра Великобритании», — прокомментировал эксперт по кибербезопасности, знакомый с этим делом.
Companies House предприняла шаги для сдерживания утечки, но инцидент служит суровым напоминанием о том, что даже критически важные системы могут быть уязвимы для эксплуатации.
