Официальный реестр компаний Великобритании, Companies House, подтвердил наличие значительной уязвимости в своем сервисе WebFiling, которая привела к раскрытию конфиденциальной информации примерно пяти миллионов зарегистрированных предприятий. Уязвимость, которая была активна в течение пяти месяцев с октября 2025 года, позволяла аутентифицированным пользователям обходить предусмотренные механизмы контроля доступа. По словам исследователя кибербезопасности Дэна Нейдла, основателя Tax Policy Associates, последовательность эксплуатации была тревожно простой: пользователь входил в панель управления своей собственной компании, выбирал опцию «подать документы для другой компании» и вводил регистрационный номер любой другой фирмы. Когда система запрашивала код аутентификации — которого у пользователя, конечно, не было — он мог просто несколько раз нажать кнопку «назад» в браузере. Это действие позволяло обойти проверку безопасности и перенаправляло пользователя не на его собственную панель управления, а на полную панель управления изначально выбранной компании.
Раскрытые данные включали высокочувствительную личную информацию, такую как домашние адреса и адреса электронной почты директоров и других руководителей компаний. Этот тип данных является главной целью для фишинговых кампаний, кражи личных данных и других форм корпоративного шпионажа. Сообщается, что уязвимость была обнаружена Джоном Хьюиттом из Ghost Mail, но после того, как он не получил ответа от Companies House, проблема была поднята Дэном Нейдлом. В ответ Companies House отключила свой сервис WebFiling в пятницу для устранения проблемы и вернула его в работу к понедельнику, объявив уязвимость устраненной. В агентстве заявили, что брешь в безопасности возникла после обновления системы в октябре 2025 года, что подчеркивает критическую необходимость тщательного тестирования безопасности после любых изменений ИТ-инфраструктуры.
Этот инцидент подчеркивает постоянную проблему цифровых услуг государственного сектора: баланс между доступностью и надежной безопасностью. Хотя такие сервисы, как WebFiling, созданы для удобства, единственная логическая ошибка в процессе аутентификации может привести к масштабным утечкам данных. Особую озабоченность вызывает пятимесячный период экспозиции, который указывает на потенциальный пробел в proactive-мониторинге безопасности или процессах раскрытия уязвимостей. Организации, управляющие огромными наборами публичных данных, должны внедрять строгую постоянную проверку безопасности, включая регулярное тестирование на проникновение и автоматические проверки на обход авторизации, чтобы предотвратить подобные уязвимости типа «нарушение контроля доступа», которые постоянно входят в число главных рисков безопасности веб-приложений по версии OWASP.
Более широкая картина кибербезопасности на этой неделе также включала несколько других критических угроз. Веб-SDK AppsFlyer был скомпрометирован для распространения JavaScript, ворующего криптовалюту; ФБР расследует распространение вредоносного ПО через игры в Steam; а CISA предупредила об активной эксплуатации уязвимости в Wing FTP Server. В то же время Microsoft устранила проблему, когда приложение Samsung блокировало доступ к диску C: в Windows, и подробно описала сложную атаку на Stryker, в результате которой были стерты данные с десятков тысяч устройств без использования традиционного вредоносного ПО. Эти события в совокупности подчеркивают, что угрозы развиваются по всем векторам — от цепочек поставок стороннего программного обеспечения и популярных игровых платформ до корпоративных приложений и физических медицинских устройств — что требует бдительной, многоуровневой стратегии защиты.
