Η Companies House, μια βρετανική κυβερνητική υπηρεσία που διαχειρίζεται το μητρώο για όλες τις εταιρείες του Ηνωμένου Βασιλείου, λέει ότι η υπηρεσία WebFiling είναι ξανά online αφού έκλεισε την Παρασκευή για να διορθώσει ένα ελάττωμα ασφαλείας που αποκάλυψε τις πληροφορίες των εταιρειών από τον Οκτώβριο του 2025.
Ο Dan Neidle, ιδρυτής της μη κερδοσκοπικής εταιρείας Tax Policy Associates, ανέφερε την ευπάθεια στο εταιρικό μητρώο του Ηνωμένου Βασιλείου την Παρασκευή, αφού ο John Hewitt της Ghost Mail (ο οποίος ανακάλυψε το ελάττωμα) δεν έλαβε απάντηση.
“Το μόνο που χρειαζόταν ήταν να συνδεθείτε στο Companies House χρησιμοποιώντας τα δικά σας στοιχεία και να αποκτήσετε πρόσβαση στον πίνακα ελέγχου της εταιρείας σας. Στη συνέχεια, επιλέξτε “αρχειοθέτηση για άλλη εταιρεία” και εισαγάγετε τον αριθμό της εταιρείας για οποιαδήποτε από τις πέντε εκατομμύρια εταιρείες που είναι εγγεγραμμένες στο Companies House.” είπε η Νέιντλ.
“Σε εκείνο το σημείο θα σας ζητηθεί ένας κωδικός ελέγχου ταυτότητας, τον οποίο φυσικά δεν έχετε. Κανένα πρόβλημα. Πατήστε το πλήκτρο “πίσω” μερικές φορές για να επιστρέψετε στο ταμπλό σας. Εκτός από το – δεν είναι ο πίνακας εργαλείων σας. Είναι ο πίνακας εργαλείων της άλλης εταιρείας.”
Ο Neidle πρόσθεσε ότι το ελάττωμα αποκάλυψε τα δεδομένα πέντε εκατομμυρίων εγγεγραμμένων εταιρειών για πέντε μήνες, συμπεριλαμβανομένων των διευθύνσεων κατοικίας και email της διοίκησής τους.
Το Companies House επιβεβαίωσε την ευπάθεια τη Δευτέρα αφού επανέφερε την υπηρεσία αρχειοθέτησης στο διαδίκτυο και είπε ότι το ζήτημα παρουσιάστηκε όταν η υπηρεσία ενημέρωσε τα συστήματα WebFiling τον Οκτώβριο του 2025.
Η υπηρεσία είπε ότι το ελάττωμα θα μπορούσε να έχει γίνει κατάχρηση μόνο από συνδεδεμένους χρήστες και θα τους επέτρεπε να «αλλάξουν ορισμένα στοιχεία των στοιχείων μιας άλλης εταιρείας χωρίς τη συγκατάθεσή τους». Ωστόσο, πρόσθεσε επίσης ότι το ζήτημα ασφαλείας θα μπορούσε να χρησιμοποιηθεί μόνο για την κλοπή δεδομένων και την πρόσβαση στα αρχεία της εταιρείας μία καταχώρηση κάθε φορά.
“Η έρευνά μας έδειξε ότι συγκεκριμένα δεδομένα από μεμονωμένες εταιρείες που δεν δημοσιεύονται συνήθως στο μητρώο του Companies House μπορεί να ήταν ορατά σε άλλους συνδεδεμένους χρήστες του WebFiling.” Σημειώνεται το Companies House.
“Αυτό περιλαμβάνει ημερομηνίες γέννησης, διευθύνσεις κατοικίας και διευθύνσεις ηλεκτρονικού ταχυδρομείου εταιρείας. Μπορεί επίσης να ήταν δυνατό να έχουν γίνει μη εξουσιοδοτημένες αρχειοθετήσεις — όπως λογαριασμοί ή αλλαγές διευθυντή — σε αρχείο άλλης εταιρείας.”
Όπως πρόσθεσε το πρακτορείο, κανένας κωδικός πρόσβασης χρήστη δεν παραβιάστηκε και τα δεδομένα που χρησιμοποιήθηκαν κατά τη διαδικασία επαλήθευσης ταυτότητας, όπως στοιχεία διαβατηρίου, δεν είχαν πρόσβαση ενώ η υπηρεσία ήταν ευάλωτη. Επιπλέον, “κανένα υπάρχον αρχειοθετημένο έγγραφο, όπως λογαριασμοί ή δηλώσεις επιβεβαίωσης δεν θα μπορούσε να έχει τροποποιηθεί.”
Έκτοτε, η υπηρεσία έχει αναφέρει το περιστατικό στο Γραφείο του Επιτρόπου Πληροφοριών του Ηνωμένου Βασιλείου (ICO) και στο Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο (NCSC) και διερευνά εάν αυτή η ευπάθεια έχει εκμεταλλευτεί για πρόσβαση ή αλλαγή στοιχείων οποιασδήποτε εταιρείας.
“Δεν έχουμε αναφορές σε αυτό το στάδιο για πρόσβαση ή αλλαγή δεδομένων χωρίς άδεια”, ανέφερε η Companies House στη σημερινή δήλωση. “Ωστόσο, η έρευνά μας βρίσκεται σε εξέλιξη. Θα παρέχουμε περαιτέρω ενημερώσεις καθώς προχωρά η εργασία μας και παραμένουμε δεσμευμένοι να είμαστε διαφανείς καθ’ όλη τη διάρκεια”.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
