Companies House vulnerability enabled company hijacking
2 months ago
- #Data Privacy
- #Companies House
- #Cybersecurity
- 英国公司注册局网站存在重大漏洞,可免费访问五百万家注册企业中任意公司的数据看板
- 该漏洞暴露了公司董事的家庭住址、电子邮箱,并可能允许修改公司资料及提交财务报告
- 漏洞由Ghost Mail公司的约翰·休伊特发现,经核实后向公司注册局报告,导致其在线申报系统临时关闭
- 利用方式需用个人资料登录公司注册局,访问自己公司看板后,尝试在无验证码情况下为其他公司提交文件
- 该漏洞似乎还能修改公司资料和提交账目,但实际影响尚不明确
- 公司注册局已关闭在线申报系统并展开调查
- 主要担忧包括漏洞存在时长、使用痕迹追踪可能性,以及个人信息暴露带来的安全风险和GDPR合规问题