- 構成設定ミスが判明後、Companies HouseがWebFilingをシャットダウン
- ログイン中のユーザーは他の企業のデータを表示または変更できた
- 生年月日や住所などの機密情報が一時的に露出し、現在は修正済み
イギリスの公式企業登録機関であるCompanies Houseが、許可されていない第三者に機密の企業データを漏らしていました。この脆弱性の発見により、調査と対応を行う間、週末に1つのサービスをシャットダウンすることを余儀なくされました。
本日早朝に公開されたプレスリリースで、Companies HouseのCEOであるAndy Kingは、金曜日の午後に構成設定ミスが発見されたと述べ、「これはWebFilingサービスのログイン中のユーザーが、特定の一連のアクション実行後に、他の企業の詳細情報の一部にアクセスし、その同意なしに変更する可能性があることを意味していました」と述べました。
WebFilingは、組織が公式文書を電子的に提出できるサービスです。
記事の続きを表示
機密データの露出
バグが認可コード付きのログイン中のユーザー以外にはアクセス不可だったにもかかわらず、Companies Houseはサービスを閉鎖し、解決に向けて取り組みました。「サービスは独立してテストされており、3月16日月曜日午前9時の時点でオンラインに戻っている」と発表では述べられています。
しかし、調査中に、組織は「通常Companies House登録簿に公開されていない」一部の企業データが、他のログイン中のWebFilingユーザーに表示される可能性があることを発見しました。これには生年月日、住所、または企業メールアドレスが含まれます。悪意のある行為者は、アカウントや取締役などの他の企業のデータを変更することができた可能性があります。
しかし、CEOは、攻撃者が一度に1つの企業を表示する必要があるため、このデータを盗むことは非常に困難だと述べています。とはいえ、彼はパスワードが侵害されていないこと、ID確認に必要なデータにアクセスされていないこと、および既存の提出文書が改ざんされていないことを確認しました。
攻撃が穏やかに聞こえるにもかかわらず、Companies Houseはすべての組織に登録詳細とファイリング履歴を確認し、懸念がある場合は連絡するよう要求しました。
CEOは、Companies Houseがデータを保護する責任を「極めて真摯に」受け止めていると述べ、謝罪でお知らせを締めくくりました。
もちろん、あなたもTikTokでTechRadarをフォローできます。ニュース、レビュー、動画形式のアンボックス、そしてWhatsAppでも私たちから定期的なアップデートを受け取ることができます。
