Brytyjski rejestr firm Companies House poinformował o usterce bezpieczeństwa w swoim systemie WebFiling, która mogła pozwolić zalogowanym użytkownikom na przeglądanie i modyfikowanie danych innych spółek. Usługa została tymczasowo wyłączona, a incydent zgłoszony organom nadzorczym.
- Wykryta luka w systemie WebFiling umożliwiała zalogowanym użytkownikom potencjalny dostęp do poufnych danych innych firm, takich jak prywatne adresy czy daty urodzenia.
- Companies House wyłączyło usługę, naprawiło problem i przywróciło jej działanie po niezależnych testach. Incydent został zgłoszony do urzędu ochrony danych ICO oraz centrum cyberbezpieczeństwa NCSC.
- Wszystkie firmy zarejestrowane w Wielkiej Brytanii powinny niezwłocznie sprawdzić swoje dane i historię dokumentów w rejestrze pod kątem nieautoryzowanych zmian.
Co się stało?
W piątek, 13 marca, władze Companies House zostały poinformowane o istnieniu luki bezpieczeństwa w elektronicznym systemie składania dokumentów WebFiling. Usterka polegała na tym, że po wykonaniu określonej sekwencji działań, zalogowany użytkownik z autoryzacyjnym kodem mógł potencjalnie uzyskać dostęp do informacji innej firmy, a nawet wprowadzić w jej rejestrze nieautoryzowane zmiany. Problem nie dotyczył dostępu dla ogółu społeczeństwa, a jedynie zarejestrowanych użytkowników usługi.
W odpowiedzi na zagrożenie, Companies House wyłączyło system WebFiling w piątek po południu. Po przeprowadzeniu dochodzenia i wdrożeniu poprawki, usługa została przywrócona w poniedziałek rano, 16 marca, po pozytywnym wyniku niezależnych testów bezpieczeństwa.
Jakie dane mogły być narażone?
Z prowadzonego śledztwa wynika, że mogły zostać ujawnione dane, które normalnie nie są publikowane w publicznie dostępnym rejestrze. Należą do nich przede wszystkim prywatne daty urodzenia i adresy zamieszkania osób związanych z firmami oraz służbowe adresy e-mail spółek.
Istniało także ryzyko, że ktoś mógł nieuprawnienie złożyć dokumenty, np. sprawozdania finansowe lub formularze dotyczące zmiany dyrektora, w imieniu innej firmy. Urząd podkreśla jednak, że luka nie umożliwiała masowego pobierania danych ani systematycznego przeglądania rekordów – potencjalny dostęp był ograniczony do pojedynczych firm, przeglądanych jedna po drugiej.
Co ważne, nie zostały naruszone hasła użytkowników, dane wykorzystywane w procesie weryfikacji tożsamości (jak informacje z paszportu) ani już złożone dokumenty archiwalne. Usterka najprawdopodobniej pojawiła się podczas aktualizacji systemu w październiku 2025 roku.
Działania Companies House i zalecenia dla firm
Companies House poinformowało o incydencie brytyjski urząd ochrony danych (ICO) oraz Krajowe Centrum Cyberbezpieczeństwa (NCSC). Instytucja zapowiedziała, że przeanalizuje dane pod kątem anomalii i wyśle e-maile na zarejestrowane adresy wszystkich firm z instrukcją, jak sprawdzić swoje dane.
Kluczowym zaleceniem dla wszystkich przedsiębiorców prowadzących działalność w Wielkiej Brytanii jest natychmiastowe, samodzielne sprawdzenie swoich danych w rejestrze Companies House. Należy zweryfikować aktualne informacje o firmie oraz historię złożonych dokumentów, aby upewnić się, że nie pojawiły się żadne nieautoryzowane zmiany.
W przypadku znalezienia nieprawidłowości, firmy powinny złożyć oficjalną skargę, dołączając stosowne dowody. Szczegółowe informacje na temat procedury skargowej dostępne są na oficjalnej stronie Companies House. Jak dotąd nie ma doniesień o faktycznym, nieuprawnionym dostępie do danych, jednak śledztwo jest w toku.
Stanowisko zarządu
Andy King, dyrektor generalny Companies House, publicznie przeprosił za zaistniałą sytuację, uznając, że incydent musiał wzbudzić niepokój wśród firm i osób korzystających z usług rejestru. Zapewnił, że instytucja traktuje swoją odpowiedzialność za ochronę powierzonych danych niezwykle poważnie i podjęła szybkie działania w celu zabezpieczenia i przywrócenia usługi.
Companies House zobowiązało się do dalszej transparentności i publikacji dodatkowych informacji w miarę postępu prac. Zapowiedziano także, że wobec osób, które mogłyby wykorzystać lukę w złej wierze, zostaną wyciągnięte stanowcze konsekwencje.
Źródło: Companies House / gov.uk