Companies House, британската държавна агенция, която управлява регистъра на всички компании във Великобритания, обяви, че сервисът WebFiling е отново онлайн, след като беше затворен в петък за отстраняване на сериозна уязвимост, която разкриваше информация за компании от октомври 2025 г.

Как беше открита уязвимостта

Дан Нейдъл, основател на неправителствената организация Tax Policy Associates, съобщи за проблема в корпоративния регистър на Великобритания в петък, след като Джон Хюит от Ghost Mail, който първи е открил проблема, не получил отговор.

Нейдъл обясни механизма на уязвимостта:

„Всичко, което беше нужно, беше да се влезе в Companies House със собствените си данни и да се достъпи таблото за управление на собствената компания. След това избирате ‘file for another company’ и въвеждате номер на компания от петте милиона регистрирани компании.“

След това се иска код за автентикация, който потребителят естествено не притежава. Но чрез няколко натискания на бутона „назад“, вместо собственото табло, се отваря таблото на другата компания.

Така бяха изложени лични и корпоративни данни на пет милиона компании за период от пет месеца, включително домашни адреси и имейл контакти на ръководството.

Потвърждение и реакция на Companies House

Агенцията потвърди уязвимостта в понеделник след възстановяването на WebFiling и обяви, че проблемът е бил въведен при актуализация на системата през октомври 2025 г.

Според Companies House, уязвимостта е можела да бъде експлоатирана само от вече вписани потребители, и е позволявала „промяна на някои елементи от данните на друга компания без тяхното съгласие“.

„Нашето разследване установи, че специфични данни, които обикновено не са публични в регистъра, са могли да бъдат видими за други вписани потребители на WebFiling. Това включва дати на раждане, домашни адреси и корпоративни имейл адреси. Теоретично е било възможно и неразрешено подаване на документи, като отчети или промени в директорския състав.“

Агенцията уточни, че пароли на потребители не са били компрометирани, а данни, използвани при проверка на самоличността (като паспортна информация), не са били достъпвани по време на уязвимостта. Освен това, „вече подадените документи, като отчети или потвърдителни декларации, не са могли да бъдат променяни“.

Следващи стъпки и разследване

Companies House е уведомила UK Information Commissioner’s Office (ICO) и National Cyber Security Centre (NCSC) и разследва дали уязвимостта е била експлоатирана за достъп или промяна на данни.

„Към момента няма съобщения за неразрешен достъп или промяна на данни. Разследването продължава, като ще предоставяме допълнителни актуализации и оставаме ангажирани с прозрачност през целия процес.“