Вы хотели бы стать директором Apple? Целых пять месяцев это можно было сделать лишь одной кнопкой
NewsMakerХакеры тут ни при чем — хватило обычного любопытства и ошибок в коде.
Серьёзная уязвимость на сайте британского регистратора компаний Companies House на протяжении нескольких месяцев позволяла посторонним получать доступ к закрытым данным миллионов организаций. Проблема затрагивала не только персональную информацию директоров, но и давала возможность вмешиваться в корпоративную документацию.
Сбой обнаружили 12 марта 2026 года. Его выявил исследователь Джон Хьюитт из компании Ghost Mail, после чего информация быстро дошла до властей и СМИ. Позже глава Companies House Энди Кинг подтвердил, что проблема существовала с октября 2025 года и затронула около пяти миллионов компаний.
Механизм оказался неожиданно простым. Пользователь с собственным аккаунтом мог зайти в систему, попытаться открыть данные другой компании и, не имея кода доступа, просто нажать кнопку «назад». После нескольких таких действий система отображала чужую панель управления. Через неё открывался доступ к непубличным данным, включая домашние адреса, электронную почту и даты рождения директоров.
Проверка показала, что уязвимость позволяла не только просматривать информацию, но и вносить изменения. Речь идёт о корректировке адресов, данных руководителей и даже подаче отчётности от имени компании. При этом уведомления о таких действиях могли уходить не владельцам бизнеса, а злоумышленникам.
Серьёзная уязвимость на сайте британского регистратора компаний Companies House на протяжении нескольких месяцев позволяла посторонним получать доступ к закрытым данным миллионов организаций. Проблема затрагивала не только персональную информацию директоров, но и давала возможность вмешиваться в корпоративную документацию.
Сбой обнаружили 12 марта 2026 года. Его выявил исследователь Джон Хьюитт из компании Ghost Mail, после чего информация быстро дошла до властей и СМИ. Позже глава Companies House Энди Кинг подтвердил, что проблема существовала с октября 2025 года и затронула около пяти миллионов компаний.
Механизм оказался неожиданно простым. Пользователь с собственным аккаунтом мог зайти в систему, попытаться открыть данные другой компании и, не имея кода доступа, просто нажать кнопку «назад». После нескольких таких действий система отображала чужую панель управления. Через неё открывался доступ к непубличным данным, включая домашние адреса, электронную почту и даты рождения директоров.
Проверка показала, что уязвимость позволяла не только просматривать информацию, но и вносить изменения. Речь идёт о корректировке адресов, данных руководителей и даже подаче отчётности от имени компании. При этом уведомления о таких действиях могли уходить не владельцам бизнеса, а злоумышленникам.