Luka w Companies House ujawniła dane firm i umożliwiła nieautoryzowane operacje - Security Bez Tabu

Luka w Companies House ujawniła dane firm i umożliwiła nieautoryzowane operacje

Cybersecurity news

Wprowadzenie do problemu / definicja

Brytyjski rejestr spółek Companies House potwierdził incydent bezpieczeństwa w usłudze WebFiling, który mógł prowadzić do nieautoryzowanego dostępu do niepublicznych danych firm oraz do składania wybranych dokumentów bez zgody uprawnionych podmiotów. Zdarzenie nie wynikało z klasycznego przejęcia haseł, lecz z błędu logicznego w aplikacji webowej, który osłabił kontrolę dostępu.

To istotny przykład podatności z kategorii broken access control, czyli niewłaściwego egzekwowania uprawnień do zasobów. W praktyce oznacza to, że sam proces logowania nie gwarantował prawidłowej ochrony danych i operacji dostępnych w systemie.

W skrócie

  • Podatność została wprowadzona po aktualizacji WebFiling w październiku 2025 roku.
  • Problem pozostawał aktywny przez kilka miesięcy, do czasu wyłączenia usługi w marcu 2026 roku w celu wdrożenia poprawek.
  • Luka mogła umożliwiać podgląd niepublicznych danych wybranych firm, w tym adresów, dat urodzenia i adresów e-mail.
  • Możliwe było także składanie niektórych dokumentów bez właściwego upoważnienia.
  • Sprawa została zgłoszona do odpowiednich organów nadzorczych i bezpieczeństwa.

Kontekst / historia

Companies House pełni kluczową rolę w brytyjskiej administracji gospodarczej, odpowiadając za rejestrację i obsługę danych milionów spółek. WebFiling to internetowa usługa używana do składania dokumentów, aktualizacji wybranych informacji oraz realizacji części procesów formalnych związanych z obsługą podmiotów gospodarczych.

W ostatnim okresie system przechodził zmiany związane z integracją z GOV.UK One Login oraz modernizacją mechanizmów dostępu. To właśnie po jednej z aktualizacji, wdrożonej w październiku 2025 roku, miała pojawić się luka bezpieczeństwa. Incydent został nagłośniony po zgłoszeniach badaczy i obserwatorów zajmujących się transparentnością danych korporacyjnych.

Z perspektywy cyberbezpieczeństwa szczególnie ważne jest to, że nie mamy tu do czynienia z wyrafinowanym atakiem na infrastrukturę, ale z błędem projektowym w logice aplikacji. Takie podatności są często trudne do wychwycenia, ponieważ nie zawsze wynikają z pojedynczej usterki technicznej, lecz z nieprawidłowego przebiegu procesów biznesowych i autoryzacyjnych.

Analiza techniczna

Opis incydentu wskazuje na problem związany z kontrolą dostępu na poziomie sesji użytkownika oraz kontekstu obsługiwanego obiektu, w tym przypadku konkretnej spółki. Scenariusz wykorzystania błędu miał polegać na zalogowaniu się do własnego konta, rozpoczęciu procesu składania dokumentów dla innej spółki, a następnie na nieprawidłowym przejściu do widoków związanych z tym podmiotem mimo braku skutecznego potwierdzenia uprawnień.

Sugeruje to, że aplikacja mogła zmieniać kontekst docelowej spółki jeszcze przed pełnym zakończeniem procesu autoryzacji. W efekcie system prawdopodobnie nie wymuszał ponownej walidacji uprawnień przy renderowaniu kolejnych ekranów lub przy odtwarzaniu poprzedniego stanu interfejsu. To klasyczny antywzorzec bezpieczeństwa, w którym aplikacja ufa sekwencji ekranów i stanowi sesji bardziej niż serwerowej kontroli dostępu.

Technicznie mogło dojść do kilku nakładających się błędów:

  • nieprawidłowego powiązania identyfikatora spółki z aktywną sesją użytkownika,
  • braku ponownej walidacji uprawnień przy przejściu do pulpitu lub danych firmy,
  • niedostatecznej separacji między inicjacją operacji a jej autoryzacją,
  • zbyt dużego zaufania do logiki klienta i historii przeglądarki,
  • niewystarczających testów regresyjnych po wdrożeniu zmian.

Warto zaznaczyć, że incydent nie dotyczył kompromitacji haseł ani danych używanych do weryfikacji tożsamości, takich jak dane paszportowe. Nie zmniejsza to jednak powagi zdarzenia, ponieważ sama możliwość dostępu do niepublicznych rekordów i składania wybranych zgłoszeń oznacza naruszenie poufności oraz integralności systemu.

Konsekwencje / ryzyko

Ryzyko wynikające z tej luki jest wielowymiarowe. Po pierwsze, ujawnienie niepublicznych danych firmowych i osobowych może zwiększyć skuteczność kampanii phishingowych, oszustw socjotechnicznych oraz prób podszywania się pod członków zarządu lub osoby odpowiedzialne za formalności korporacyjne.

Po drugie, możliwość składania nieautoryzowanych dokumentów stwarza realne zagrożenie dla integralności rejestru. Nawet jeśli zakres operacji był ograniczony, potencjalne dodanie nowych wpisów lub zmian bez wiedzy właścicieli rekordów może prowadzić do sporów prawnych, problemów compliance, zakłóceń operacyjnych i kosztownych działań naprawczych.

Po trzecie, znaczenie incydentu ma charakter systemowy. Companies House obsługuje ogromną liczbę podmiotów, dlatego podatność w centralnej usłudze administracyjnej może być szczególnie atrakcyjna dla cyberprzestępców. Nawet jeśli dane miały być pobierane pojedynczo, taki model nadal może zostać zautomatyzowany z wykorzystaniem skryptów i sekwencyjnego przetwarzania rekordów.

Nie można też pomijać ryzyka reputacyjnego i regulacyjnego. Zgłoszenie sprawy do organów nadzorczych oznacza możliwą dalszą ocenę adekwatności zastosowanych środków ochrony danych. Dla firm korzystających z rejestru to sygnał, że również publiczne platformy o krytycznym znaczeniu powinny być traktowane jako element zewnętrznego łańcucha ryzyka.

Rekomendacje

Organizacje posiadające spółki zarejestrowane w Wielkiej Brytanii powinny potraktować ten incydent jako zdarzenie wymagające konkretnych działań operacyjnych i kontrolnych.

  • Zweryfikować historię zgłoszeń i zmian dla każdej obsługiwanej spółki.
  • Sprawdzić, czy w rejestrze nie pojawiły się nieautoryzowane dokumenty lub zmiany danych.
  • Ograniczyć liczbę osób uprawnionych do składania dokumentów zgodnie z zasadą najmniejszych uprawnień.
  • Zmienić i bezpiecznie przechowywać kody autoryzacyjne spółek.
  • Włączyć alerty i mechanizmy monitorowania nowych zgłoszeń.
  • Monitorować komunikaty urzędowe dotyczące dalszego zakresu incydentu.
  • Zwiększyć czujność wobec phishingu wykorzystującego dane firmowe i informacje o kadrze zarządzającej.
  • Uwzględnić scenariusz naruszenia integralności danych w systemach zewnętrznych w planach reagowania na incydenty.

Dla zespołów bezpieczeństwa i dostawców aplikacji incydent jest przypomnieniem o podstawowych zasadach projektowania bezpiecznych procesów:

  • każda operacja na zasobie powinna wymagać serwerowej kontroli autoryzacji,
  • zmiana kontekstu obiektu nie może następować przed pełnym potwierdzeniem uprawnień,
  • scenariusze użycia przycisku wstecz i odtwarzania stanu sesji powinny być objęte testami bezpieczeństwa,
  • testy regresyjne po zmianach w logowaniu i zarządzaniu sesją muszą obejmować przypadki broken access control.

Podsumowanie

Incydent w Companies House pokazuje, że nawet pozornie prosty błąd w logice aplikacji może mieć poważne skutki w systemie o krytycznym znaczeniu dla gospodarki. Nie doszło tu do klasycznego przełamania uwierzytelniania, lecz do niewłaściwego egzekwowania uprawnień po zmianie kontekstu operacji.

Efektem mogła być ekspozycja niepublicznych danych firm oraz możliwość wykonania wybranych działań bez zgody uprawnionych osób. Dla organizacji kluczowe pozostają teraz przegląd historii zmian, weryfikacja integralności danych oraz wzmocnienie monitoringu procesów rejestrowych. Dla branży bezpieczeństwa to kolejny dowód, że kontrola dostępu pozostaje jednym z najczęściej zawodzących i jednocześnie najbardziej krytycznych elementów nowoczesnych aplikacji webowych.

Źródła

  • https://www.bleepingcomputer.com/news/security/uks-companies-house-confirms-security-flaw-exposed-business-data/
  • https://www.gov.uk/guidance/your-personal-information-on-the-public-record-at-companies-house
  • https://www.gov.uk/government/news/access-to-companies-house-webfiling-accounts-to-move-to-govuk-one-login
  • https://ewf.companieshouse.gov.uk/help/en/stdwf/faqHelp.html
  • https://taxpolicy.org.uk/