- Companies House encerra WebFiling após descobrir configuração incorreta
- Usuários logados podem visualizar ou alterar dados de outras empresas
- Detalhes confidenciais, como data de nascimento e endereços informados, agora corrigidos
A Companies House, o registrador oficial de empresas do governo do Reino Unido, estava vazando dados confidenciais de empresas para terceiros não autorizados. A descoberta da vulnerabilidade forçou o encerramento de um de seus serviços no fim de semana, enquanto investigava e solucionava o problema.
Num comunicado de imprensa divulgado esta manhã, Andy King, executivo-chefe da Companies House, disse que a organização descobriu uma configuração incorreta na noite de sexta-feira, “o que significava que um usuário conectado ao nosso serviço WebFiling poderia acessar e alterar elementos dos detalhes de outra empresa sem o seu consentimento, após realizar um conjunto específico de ações”.
WebFiling é um serviço que permite às organizações enviar documentos oficiais eletronicamente.
O artigo continua abaixo
Divulgação de dados sensíveis
Embora o bug não estivesse acessível a ninguém além dos usuários logados com um código autorizado, a Companies House fechou o serviço e trabalhou para corrigi-lo. “O serviço foi testado de forma independente e está online a partir das 09h00 de segunda-feira, 16 de março”, diz o anúncio.
No entanto, durante a investigação, a organização descobriu que alguns dados “normalmente não publicados no registro da Companies House” poderiam ser visíveis para outros usuários logados no WebFiling, incluindo datas de nascimento, endereços residenciais ou endereços de e-mail da empresa. Os maus atores podem ter alterado os dados de outras empresas, como contas ou diretores.
Mas o CEO diz que roubar qualquer um desses dados seria muito difícil, pois os invasores teriam que ver uma empresa de cada vez. Ao fazê-lo, confirmou que as palavras-passe não foram comprometidas, os dados necessários para a verificação da identidade não foram acedidos e os documentos arquivados existentes não foram adulterados.
Apesar do ataque moderado, a Companies House pediu a todas as organizações que verificassem os seus dados registados e histórico de ficheiros, e que os contactassem caso tivessem alguma preocupação.
O CEO encerrou o anúncio com um pedido de desculpas, dizendo que a Companies House leva “muito a sério” a sua responsabilidade de proteger os dados.
Através Tempos Financeiros
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
