- 26,619
- 46
- 8 Ноя 2022
Хакеры тут ни при чем — хватило обычного любопытства и ошибок в коде.
Серьёзная уязвимость на сайте британского регистратора компаний Companies House на протяжении нескольких месяцев позволяла посторонним получать доступ к закрытым данным миллионов организаций. Проблема затрагивала не только персональную информацию директоров, но и давала возможность вмешиваться в корпоративную документацию.
Сбой обнаружили 12 марта 2026 года. Его выявил исследователь Джон Хьюитт из компании Ghost Mail, после чего информация быстро дошла до властей и СМИ. Позже глава Companies House Энди Кинг подтвердил, что проблема существовала с октября 2025 года и затронула около пяти миллионов компаний.
Механизм оказался неожиданно простым. Пользователь с собственным аккаунтом мог зайти в систему, попытаться открыть данные другой компании и, не имея кода доступа, просто нажать кнопку «назад». После нескольких таких действий система отображала чужую панель управления. Через неё открывался доступ к непубличным данным, включая домашние адреса, электронную почту и даты рождения директоров.
Проверка показала, что уязвимость позволяла не только просматривать информацию, но и вносить изменения. Речь идёт о корректировке адресов, данных руководителей и даже подаче отчётности от имени компании. При этом уведомления о таких действиях могли уходить не владельцам бизнеса, а злоумышленникам.
Специалисты отмечают, что подобные данные часто используют для мошенничества — от подмены личности до атак с применением социальной инженерии . Особенно уязвимыми остаются небольшие компании, где решения нередко принимает один человек.
Companies House закрыл систему электронной подачи данных 13 марта и восстановил работу 16 марта после проверки. Ведомство заявило, что пароли и документы для подтверждения личности не пострадали, а массовая выгрузка данных маловероятна. При этом возможность точечно просматривать записи отдельных организаций в ведомстве признали.
Остаётся неясным, успели ли злоумышленники воспользоваться уязвимостью. С учётом того, что проблема существовала около пяти месяцев, вероятность её обнаружения третьими лицами оценивают как высокую. Также неизвестно, сможет ли регистратор точно определить все затронутые компании.
Инцидент уже передали в Управление комиссара по информации Великобритании и Национальный центр кибербезопасности. Компании получили уведомления с рекомендацией проверить свои данные и историю изменений. В случае выявления подозрительной активности бизнесу советуют немедленно сообщить об этом регулятору.
Ситуация поднимает вопросы о соблюдении требований GDPR, особенно в части уведомления пострадавших. Если выяснится, что конкретные компании подверглись несанкционированному доступу или изменениям, регистратор обязан сообщить об этом напрямую.
Серьёзная уязвимость на сайте британского регистратора компаний Companies House на протяжении нескольких месяцев позволяла посторонним получать доступ к закрытым данным миллионов организаций. Проблема затрагивала не только персональную информацию директоров, но и давала возможность вмешиваться в корпоративную документацию.
Сбой обнаружили 12 марта 2026 года. Его выявил исследователь Джон Хьюитт из компании Ghost Mail, после чего информация быстро дошла до властей и СМИ. Позже глава Companies House Энди Кинг подтвердил, что проблема существовала с октября 2025 года и затронула около пяти миллионов компаний.
Механизм оказался неожиданно простым. Пользователь с собственным аккаунтом мог зайти в систему, попытаться открыть данные другой компании и, не имея кода доступа, просто нажать кнопку «назад». После нескольких таких действий система отображала чужую панель управления. Через неё открывался доступ к непубличным данным, включая домашние адреса, электронную почту и даты рождения директоров.
Проверка показала, что уязвимость позволяла не только просматривать информацию, но и вносить изменения. Речь идёт о корректировке адресов, данных руководителей и даже подаче отчётности от имени компании. При этом уведомления о таких действиях могли уходить не владельцам бизнеса, а злоумышленникам.
Специалисты отмечают, что подобные данные часто используют для мошенничества — от подмены личности до атак с применением социальной инженерии . Особенно уязвимыми остаются небольшие компании, где решения нередко принимает один человек.
Companies House закрыл систему электронной подачи данных 13 марта и восстановил работу 16 марта после проверки. Ведомство заявило, что пароли и документы для подтверждения личности не пострадали, а массовая выгрузка данных маловероятна. При этом возможность точечно просматривать записи отдельных организаций в ведомстве признали.
Остаётся неясным, успели ли злоумышленники воспользоваться уязвимостью. С учётом того, что проблема существовала около пяти месяцев, вероятность её обнаружения третьими лицами оценивают как высокую. Также неизвестно, сможет ли регистратор точно определить все затронутые компании.
Инцидент уже передали в Управление комиссара по информации Великобритании и Национальный центр кибербезопасности. Компании получили уведомления с рекомендацией проверить свои данные и историю изменений. В случае выявления подозрительной активности бизнесу советуют немедленно сообщить об этом регулятору.
Ситуация поднимает вопросы о соблюдении требований GDPR, особенно в части уведомления пострадавших. Если выяснится, что конкретные компании подверглись несанкционированному доступу или изменениям, регистратор обязан сообщить об этом напрямую.
- Источник новости
- www.securitylab.ru
