Das Büro, das alle Unternehmen in Großbritannien registriert, Unternehmen Haus, hat seinen WebFilling-Service nach dem Schließen als eine Frage der Dringlichkeit wiedereröffnet, um einen Sicherheitsversagen zu korrigieren, der den Zugang zu internen Informationen von Millionen von Unternehmen meldete. Das Problem erschien nach einer Aktualisierung im Oktober 2025 und wäre seit mehreren Monaten aktiv geblieben, wobei sensible Daten in Bezug auf die Richtung und den Kontakt der für die registrierten Unternehmen verantwortlichen Personen offengelegt wurden.
Die Erkenntnis kam nach dem Forscher John Hewitt, bekannt für seine Arbeit mit Ghost Mail, berichtete über das Urteil und erhielt keine ausreichende Antwort, so Dan Neidle, Gründer der gemeinnützigen Organisation Mitarbeiter der Steuerpolitik, präsentieren Sie den Vorfall an Firmenhaus. Die technische Beschreibung des Defekts ist ungewöhnlich einfach: indem Sie eine Sitzung mit einem legitimen Konto beginnen und sich für "im Auftrag eines anderen Unternehmens" entscheiden, indem Sie eine Firmennummer eingeben und in den Browser zurückgehen, könnte die Sitzung "Entspannung" in die Datei eines anderen Unternehmens sein. Mit anderen Worten, ein authentifizierter Benutzer könnte enden, ohne den entsprechenden Verifikationscode auf das Managementpanel eines anderen Unternehmens zu schauen.
Der geschätzte Umfang des Problems ist groß: Bis zu fünf Millionen potenziell betroffenen Datensätze werden über einen Zeitraum von etwa fünf Monaten diskutiert. Daten, die sichtbar sein könnten, sind Geburtsdaten, Wohnadressen und Postadressen, die mit Unternehmen verbunden sind. Unternehmen Das Haus bestätigte, dass nach seinen ersten Feststellungen keine Passwörter oder Dokumente, die bei der Identitätsprüfung (z.B. Pässe) verwendet wurden, begangen wurden und dass Dokumente, die bereits öffentlich eingereicht wurden, durch dieses Urteil nicht geändert werden konnten. Die Agentur selbst veröffentlichte eine Mitteilung, in der ihre erste Bewertung und die getroffenen Maßnahmen erläutert wurden: Communauté de Companies House.
Die Agentur wies ferner darauf hin, dass die Verwundbarkeit nur von authentifizierten Nutzern ausgenutzt werden konnte und dass die Methode den Zugang zu Einzelaufzeichnungen erlaubte, die bestimmte automatisierte Massenangriffe begrenzt, aber das Risiko systematischer Missbrauch nicht vollständig beseitigt, beispielsweise zur Erfassung von Adressen oder zur Erstellung von Listen für Phishing-Kampagnen. Unternehmen House hat den Vorfall an das Amt des Vereinigten Königreichs Information Commissioner ( ICO) und das Nationale Zentrum für Cybersicherheit ( NCSC), und stellt sicher, dass die Untersuchung noch in Gang ist.
Jenseits der Chronologie und offiziellen Aussagen sind die praktischen Folgen der Sorge für Unternehmen und Manager klar. Die Exposition von persönlichen Adressen und E-Mails erhöht das Risiko gezielter Kampagnen von Social Engineering, Belästigung, Identitätsdiebstahl und Betrug mit Mitgliedern des Rates oder Administratoren. Öffentliche Informationen, die eine kommerzielle Transparenz bieten, bringen auch Spannungen in die Privatsphäre: die öffentliche Aufzeichnung versucht, finanzielle Verbrechen zu verhindern und die Transparenz zu erhöhen, aber wenn technische Mechanismen scheitern, kann die gleiche Offenheit zu einer Verletzlichkeit werden.
Was können Unternehmen und Manager jetzt tun? Zuerst überprüfen Sie die Benachrichtigungen und Aktivitätsgeschichte in Companies House, um unbefugte Änderungen zu erkennen. Es ist umsichtig, jeden Warnmechanismus zu aktivieren, den der Datensatz bietet, und um verdächtige E-Mails und Anrufe zu überprüfen, die versuchen könnten, die gefilterten Daten zu nutzen. Personen, deren Wohnheime im Register sind, können den Antrag auf den Schutz der Wohnadresse prüfen, wenn die Vorschriften zulassen, und alle Unternehmen sollten die internen Kontrollen verstärken: Benachrichtigungen über Änderungen der Registrierung durch unabhängige Kanäle überprüfen, Unterschriften und Berechtigungen überprüfen, bevor sie Änderungen akzeptieren, und, wenn eine abnorme Tätigkeit festgestellt wird, kontaktieren Sie das Firmenhaus und betrachten formale Benachrichtigung an das ICO.
Aus technischer und organisatorischer Sicht unterstreicht der Vorfall übliche Fehler bei der Verwaltung von Änderungen und Bereitstellungen: Updates, die Regressionen in der Sitzungslogik oder der Zugriffskontrolle einführen, sind eine wiederkehrende Quelle von Lecks. Code-Audits, Regressionstests, Zugriffskontrollen und verantwortungsvolle Offenlegungsprogramme (bug bounce) sind Maßnahmen, die helfen, Fehler zu erkennen, bevor sie die Produktion erreichen. Darüber hinaus müssen öffentliche Aufzeichnungen mit Datenschutzwirkung die Verfügbarkeit mit strengen Sicherheitskontrollen und einem klaren und transparenten Antwortplan ausgleichen, wenn etwas schief geht.
Die Situation spiegelt auch das Vertrauen in die digitale öffentliche Infrastruktur weiter. Unternehmensdatensätze sind die Säulen des Wirtschaftsökosystems: Sie erleichtern Due Diligence, Rekrutierung und Aufsicht. Doch der sichere Betrieb hängt sowohl von der Qualität der Software als auch von der Governance ab: Versionen, Tests, Dokumentation und Reporting-Prozesse. Die Kommunikation des Unternehmenshauses und die Tatsache, dass sie informierte Regulierungsbehörden sind notwendige Schritte, aber um das Vertrauen wieder zu erlangen, wird es für die Forschung wesentlich sein, zu bestimmen, ob die Schwachstelle ausgenutzt wurde und für gelernte Lehren und Verbesserungen veröffentlicht werden.
Für diejenigen, die die offizielle Entwicklung des Falles verfolgen wollen, ist es angebracht, die primären Quellen zu konsultieren: die Benachrichtigung des Firmenhauses auf dem Regierungsgelände ( Offizielles Detail) und der erste Bericht der Steuerpolitik Associates, der die Entdeckung dokumentiert ( Analyse von Dan Neiddle) Es wird auch empfohlen, die Veröffentlichungen und Führer der ICO und NCSC Empfehlungen und Schritte zu ergreifen, wenn vermutet wird, dass es betroffen ist.
Kurz gesagt, dieser Vorfall ist eine Erinnerung an Verwaltungen und Unternehmen: öffentliche Transparenz kann keine Entschuldigung sein, um die Sicherheit zu vernachlässigen. Wenn die Infrastruktur, die kritische Informationen unterstützt, scheitert, kommen die Konsequenzen aus dem technischen Umfeld und beeinflussen das tägliche Leben von Menschen und Unternehmen. Die Antwort wird nicht nur durch die angewandten Korrekturen gemessen, sondern durch die Klarheit, die Geschwindigkeit der Untersuchung und die angebotenen Garantien, so dass etwas Ähnliches nicht wieder geschieht.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...