Companies House musiało tymczasowo zamknąć swoją usługę składania dokumentów online po usterce, która pozwoliła użytkownikom edytować poufne dane innych firm.
Ponad pięć milionów firm było narażonych na potencjalne oszustwa z powodu błędu, który umożliwił przestępcom zmianę nazwy, adresu, adresu e-mail oraz pełnej daty urodzenia dyrektorów firm.
Usterka ta oznaczała także, że każdy, kto odkrył tę lukę, mógłby usunąć lub dodać fałszywe sprawozdania finansowe dla dowolnej firmy zarejestrowanej na stronie.
Na oficjalnym rejestrze firm w Wielkiej Brytanii znajdują się największe organizacje, takie jak BP, Shell, HSBC, Unilever i Tesco.
Aby skorzystać z tej luki, użytkownicy musieli po prostu zalogować się na stronie i wpisać numer dowolnej innej firmy. W tym momencie byliby proszeni o kod, jednak można go było ominąć, po prostu kilkakrotnie naciskając przycisk „wstecz” na przeglądarce internetowej.
Po wykonaniu tej czynności użytkownicy zamiast widzieć swoją własną pulpit otrzymywali pulpit firmy, którą próbowali uzyskać dostęp.
Nawet bez zamiarów szkodniczych, uzyskanie dostępu do danych za pomocą komputera bez zgody może skutkować karą do dwóch lat pozbawienia wolności – lub pięciu lat, jeśli dostęp ten służy do popełnienia dalszych przestępstw, takich jak oszustwo – na mocy Ustawy o Nadużyciach Komputerowych z 1990 roku w Wielkiej Brytanii.
Dan Neidle, założyciel organizacji non-profit Tax Policy Associates, zgłosił problem do Companies House po informacji od Johna Hewitta z dostawcy usług korporacyjnych Ghost Mail.
Companies House musiało tymczasowo zamknąć swoją usługę składania dokumentów online po usterce, która pozwoliła użytkownikom edytować poufne dane innych firm
W komunikacie na temat incydentu powiedział: „Odkrycie danych osobowych dyrektorów i adresów e-mail dla milionów firm ma oczywiste implikacje dotyczące bezpieczeństwa i RODO.
„Tym bardziej, jeśli nikt nie wie, które firmy ucierpiały w wyniku tej luki bezpieczeństwa.
Panie Neidle powiedział, że usterka mogłaby być „bardzo poważna”, gdyby była obecna przez dłuższy czas, dodając, że „to absolutnie obłędna luka w łatwości jej znalezienia”.
„Ludzie mogliby uzyskać wystarczająco dużo danych o firmie i jej dyrektorach, aby potencjalnie popełnić oszustwo – aby się za nią podawać.
„Co gorsze, mogliby zmienić adres na swój adres, aby odebrać dokumenty i jeśli można by złożyć sprawozdania finansowe, można by wyrządzić wszelkiego rodzaju szkody”.
Wypowiadając się na temat usterki, pan Neidle dodał: „Jeśli była tam tylko przez 36 godzin, to może być w porządku.
„Ale jeśli była tam przez miesiąc lub dłużej, to bardzo poważne.
„Badacze związani z bezpieczeństwem mówią, że średnio zajmuje to 15 dni, zanim wykorzysta się lukę, a ta była szczególnie łatwą luką, do której nie było potrzeby hakowania”.
Rzecznik prasowy Companies House powiedział: „Jesteśmy świadomi problemu z naszą usługą WebFiling i zamknęliśmy ją w trakcie dochodzenia.
„Przepraszamy naszych klientów za wszelkie niedogodności”.
Wskazówki dla dotkniętych klientów podane przez Companies House to: „Jeśli przegapisz termin składania z powodu niedostępności usługi, nie musisz do nas dzwonić.
„Złóż dokumenty jak najszybciej, jak tylko usługa będzie dostępna, zrób zrzut ekranu ewentualnych komunikatów o błędach i zanotuj czas oraz datę. Weźmiemy to dowody pod uwagę, jeśli nie będziesz mógł złożyć dokumentów”.
Daily Mail skontaktował się z Companies House w celu uzyskania komentarza.
