Критична вразливість у системі Companies House Великобританії призвела до розкриття особистих даних директорів понад 5 мільйонів зареєстрованих підприємств. Витік, що став відомим минулої п’ятниці, забезпечив несанкціонований доступ до конфіденційної інформації, включаючи дати народження та домашні адреси.
Сутність Вразливості
Проблема полягала в системі WebFiling Companies House — платформі, яка використовується для офіційної реєстрації компаній та внесення змін до їх даних. Простий експлойт — повернення на чотири кроки назад у системі, будучи авторизованим користувачем — дозволяв переглядати і навіть змінювати дані інших компаній, зокрема контактну інформацію директорів.
Дослідник з Ghost Mail, Джон Х’юїтт, першим виявив вразливість і повідомив про неї в Companies House. Походження проблеми було простежено до оновлення, запровадженого у жовтні минулого року.
Наслідки та Реакція
Companies House оперативно призупинила роботу сервісу WebFiling після виявлення вразливості та відновила його у понеділок після впровадження виправлення. Агентство закликає всі зареєстровані компанії перевірити свої дані, щоб переконатися у відсутності несанкціонованих змін.
Генеральний директор Енді Кінг підкреслив, що хоча вразливість існувала, на даний момент немає підтверджених доказів зловживання даними. Проте ведеться розслідування за підтримки Управління комісара з інформації (ICO) та Національного центру кібербезпеки (NCSC).
Чому це важливо
Цей інцидент наголошує на постійному ризику витоків даних в урядових системах. Розкрита інформація може бути використана для крадіжки особистих даних, атак фішингу або переслідування керівників компаній. Простота, з якою була викликана вразливість, наголошує на необхідності ретельного тестування безпеки та своєчасних оновлень критичної інфраструктури.
«Розкриття таких особистих даних викликає серйозні побоювання щодо захисту керівників бізнесу та цілісності корпоративного реєстру Великобританії», — прокоментував експерт із кібербезпеки, знайомий із цією справою.
Companies House зробила кроки для стримування витоку, але інцидент є суворим нагадуванням про те, що навіть критично важливі системи можуть бути вразливими для експлуатації.
