Az ötmillió brit cég adatai hónapokig szabadon keringtek

Pénteken napvilágra került egy súlyos biztonsági rés az Egyesült Királyság cégnyilvántartási rendszerében, amely mintegy ötmillió vállalkozás adatait tette hozzáférhetővé illetéktelenek számára. A Companies House által működtetett WebFiling szolgáltatás már október óta volt veszélyben, mígnem pénteken egy nonprofit szervezet jelezte a hibát a hatóságoknak, miután a hibát elsőként észlelő John Hewitt figyelmeztetése válasz nélkül maradt.

Hogyan működött a biztonsági rés?

A problémát az jelentette, hogy bejelentkezés után bárki, aki hozzáfért a saját cégéhez, egyszerűen kérhetett hozzáférést bármely regisztrált cég adatlapjához, ehhez csupán a cégszámát kellett megadni. Bár elvileg hitelesítő kódra is szükség lett volna, néhány lépéssel vissza lehetett lépni, és az idegen cég irányítópultja jelent meg a sajátunk helyett. Emellett öt hónapon keresztül a cégek vezetőinek lakcímei, e-mail-címei, sőt születési dátumai is nyilvánossá váltak.

Milyen következmények lehettek?

A Companies House szerint visszaélés csak bejelentkezett felhasználók részéről volt lehetséges, ők akár más cégek adatait is módosíthatták volna. Csak egyenként lehetett hozzáférni a cégekhez, így tömeges adatlopás nem történt. A hatóság szerint a jelszavak nem kerültek illetéktelen kezekbe, és a személyazonosításhoz szükséges dokumentumok adatai is biztonságban maradtak. A cég regisztereiben archivált hivatalos iratokat sem tudták módosítani.

Hogyan reagáltak a hatóságok?

Az esetet jelentették a brit adatvédelmi hatóságnak és a Nemzeti Kibervédelmi Központnak. Jelenleg vizsgálják, hogy ténylegesen visszaéltek-e az adatokkal, de eddig nem érkezett ilyen bejelentés. A Companies House folyamatos tájékoztatást ígér, amíg a vizsgálat tart.

2026, adrienne, www.bleepingcomputer.com alapján