英国のCompanies Houseは、無数の企業を詐欺にさらした可能性のある重大な欠陥について通知された後、WebFilingダッシュボードへのアクセスを停止することを余儀なくされました。
国の上場企業の設立と解散を担当する政府機関は、Tax Policy Associatesの創設者であるDan Neidle氏から通知を受けた金曜日にこの対応を取りました。
これは、ビジネスサービスプロバイダーGhost MailのJohn Hewitt氏によってNeidle氏の注意を引きました。前者が金曜日のブログ投稿で説明したように、このセキュリティの不具合は非常に簡単に悪用できます。
「必要だったのは、自分の詳細を使用してCompanies Houseにログインし、自分の会社のダッシュボードにアクセスすることだけです。その後、『別の会社のために提出する』を選択し、Companies Houseに登録されている500万社のいずれかの会社番号を入力します」と彼は述べました。
「その時点で、認証コードの入力を求められますが、もちろんあなたは持っていません。問題ありません。『戻る』キーを数回押してダッシュボードに戻ります。ただし、それはあなたのダッシュボードではありません。それは他の会社のダッシュボードです。」
Companies Houseの詳細をお読みください:英国政府のCompanies House ID チェックに専門家が懸念
この欠陥を悪用することで、機会主義的な詐欺師は約500万人のディレクターの個人情報および企業情報(メールアドレスと生年月日を含む)にアクセスできます。これらは理論上、後続のフィッシング試行に使用される可能性があります。
さらに懸念されるのは、個人が他の会社の登録詳細を変更することもできるということです。
「確認のコピーはJohnにメールされ、私にはメールされませんでした(私の会社なのに)」とNeidle氏は彼がHewitt氏と一緒に行ったデモについて述べています。「それは非常に危険です。なぜなら、この悪用の被害になった会社は警告メールを受け取ることができないからです。」
Neidle氏は、犯罪者は理論上、新しい銀行口座を開設し、その名義で借金するために他の会社の詳細を変更できたと述べています。安全チェックが組み込まれていない小規模企業がこの種の脅威に最も露出すると彼は述べました。
次は何が起こるのか?
Companies Houseは調査中にWebFilingダッシュボードをオフラインにしていますが、まだ答える必要がある質問がいくつかあります:
- このバグを通じて確実に変更を加えることができたでしょうか?
- ウェブサイトはどのくらいの期間脆弱だったのでしょうか?
- Companies Houseはポータルの使用を追跡して、組織が影響を受けたかどうかを確認できますか?
Neidle氏によると、機関は少なくともある程度の遡及的調査を実施できるはずです。
「私たちが話したセキュリティ専門家は、Companies Houseに標準的な監査ロギングが実施されていれば、ログインしたどのアカウントが関連のない企業のダッシュボードにアクセスしたか、それがいつ発生したか、および彼らがその後に提出または変更を試みたかどうかを見ることができるはずだと考えていました」と彼は述べました。
「何百万もの企業のディレクターの自宅とメールアドレスを明かすことは、明らかなセキュリティとGDPRの含意があります。脆弱性の影響を受けた企業が誰も知らない場合は、さらにそうです。」
調査が進行中の間に、ディレクターは公開情報と非公開情報の両方を含む、Companies Houseの登録データをチェックして、変更されていないことを確認することをお勧めします。
翻訳元: https://www.infosecurity-magazine.com/news/companies-house-glitch-exposes/
