Birleşik Krallık'taki şirket kayıtlarından sorumlu Companies House web sitesinde ciddi bir güvenlik açığı tespit edildi. Bu açık, kayıtlı beş milyon şirketin herhangi birinin "kontrol paneline" ücretsiz erişim imkanı sunuyordu. Kurumsal hizmet sağlayıcısı Ghost Mail'den John Hewitt tarafından keşfedilen bu zafiyet, direktörlerin ev adresleri, e-posta adresleri ve hatta tam doğum tarihleri gibi özel bilgilerin görüntülenmesine olanak tanıyordu. Açığın basitliği şaşırtıcıydı: Kullanıcıların kendi hesaplarıyla giriş yapıp başka bir şirket için dosya göndermeye çalıştıktan sonra geri tuşuna birkaç kez basarak hedef şirketin kontrol paneline erişmeleri yeterliydi. Bu keşif üzerine Companies House, web dosyalama sistemlerini geçici olarak kapatmak zorunda kaldı.
Bu güvenlik açığı sadece bilgi görüntülemekle kalmıyor, aynı zamanda şirket detaylarının düzenlenmesine ve hatta hesapların dosyalanmasına da imkan tanıyordu. Yazar ve John Hewitt, yazarın sahip olduğu bir şirketin ev adresini düzenleyerek bu potansiyeli doğruladı; sistem değişikliği normal bir düzenleme gibi kabul etti. Bu durum, açığın ne kadar süredir var olduğu ve kaç şirketin etkilendiği gibi önemli soruları gündeme getiriyor. Companies House, açığın kullanımını takip edip edemediği konusunda henüz bir açıklama yapmadı.
Direktörlerin kişisel bilgilerinin milyonlarca şirket için ifşa edilmesi, ciddi güvenlik ve GDPR ihlali endişeleri yaratıyor. Özellikle hangi şirketlerin etkilendiğinin bilinmemesi, potansiyel riskleri daha da artırıyor. Bu durum, dijital platformlarda veri güvenliğinin ve kullanıcı gizliliğinin ne kadar kritik olduğunu bir kez daha gözler önüne seriyor ve şirketlerin bu tür zafiyetlere karşı daha proaktif önlemler alması gerektiğini vurguluyor.
Milyonlarca şirketin direktörlerinin kişisel bilgilerinin kolayca erişilebilir hale gelmesi, ciddi güvenlik ve gizlilik ihlallerine yol açarak şirketlerin ve bireylerin siber risklere karşı savunmasızlığını ortaya koydu.