Миллионы британских компаний в зоне риска из-за утечки данных из Companies House
Реестр компаний Великобритании, официальный государственный регистр, сообщил, что его онлайн-сервис WebFiling снова работает после отключения в пятницу для устранения проблемы безопасности, которая могла раскрыть личные данные миллионов предприятий. Расследование показало, что уязвимость, вероятно, была внесена во время обновления в октябре 2025 года.
По данным Реестра, использовать эту уязвимость могли только пользователи, которые были в системе и имели действительный код авторизации.
Тем не менее, проблема вызвала серьёзное беспокойство, поскольку она раскрывала данные, не являющиеся публичными, включая даты рождения, домашние адреса и контактные электронные почты компаний. Также существовала возможность подавать несанкционированные документы, например, об изменении состава директоров или финансовой отчётности.
Уязвимость была обнаружена Джоном Хьюиттом из сервиса Ghost Mail, предоставляющего почтовые адреса для бизнеса и частных лиц, а затем обнародована Дэном Нейдлом из исследовательской организации Tax Policy Associates, которая занимается вопросами налогообложения и корпоративной прозрачности.
Хьюитт выяснил, что изъян позволял пользователю войти в свой собственный аккаунт, попытаться подать документы от имени другой компании и, нажав кнопку «назад» четыре раза после запроса авторизации, получить несанкционированный доступ к панели управления этой компании.
В Реестре заявили, что пароли не были скомпрометированы, данные для верификации личности, такие как информация из паспорта, не были доступны, а уже поданные документы, включая отчёты и подтверждающие заявления, не могли быть изменены.
«Мы полагаем, что эту проблему нельзя было использовать для массового извлечения данных или систематического доступа к записям. Любой доступ был бы ограничен отдельными записями компаний, просматриваемыми по одной зарегистрированным пользователем WebFiling», — заявил Энди Кинг, генеральный директор Реестра компаний.
Агентство сообщило об инциденте Управлению уполномоченного по информации и Национальному центру кибербезопасности и проводит постоянный анализ для выявления любых аномалий.
Компаниям настоятельно рекомендуется проверить свои зарегистрированные данные и историю подачи документов, чтобы убедиться в их точности.
«Если мы обнаружим доказательства того, что кто-либо использовал эту уязвимость для несанкционированного доступа или изменения данных другой компании, мы предпримем решительные меры», — подытожил Кинг.