هيئة Companies House البريطانية تؤكد وجود ثغرة أمنية كشفت بيانات الشركات
أعلنت هيئة Companies House، وهي الجهة الحكومية البريطانية المسؤولة عن تشغيل سجل الشركات في المملكة المتحدة، أن خدمة WebFiling عادت إلى العمل بعد إيقافها يوم الجمعة لمعالجة ثغرة أمنية كشفت معلومات الشركات منذ أكتوبر 2025.
وكان Dan Neidle، مؤسس منظمة Tax Policy Associates غير الربحية، قد أبلغ عن الثغرة يوم الجمعة إلى السجل التجاري البريطاني، بعد أن لم يتلقَّ مكتشف الثغرة John Hewitt ردًا على بلاغه.
وقال نيدل:
“كل ما كان مطلوبًا هو تسجيل الدخول إلى Companies House باستخدام بياناتك الخاصة والوصول إلى لوحة التحكم الخاصة بشركتك، ثم اختيار خيار ‘التقديم لشركة أخرى’ وإدخال رقم أي شركة من بين خمسة ملايين شركة مسجلة لدى Companies House.”
خلل بسيط كشف لوحات تحكم شركات أخرى
عند تنفيذ الخطوة السابقة، يُطلب من المستخدم إدخال رمز مصادقة، وهو بالطبع غير متوفر لديه. لكن المشكلة تظهر عند الضغط على زر العودة (Back) عدة مرات للرجوع إلى لوحة التحكم.
وأوضح نيدل:
“بدلًا من العودة إلى لوحة التحكم الخاصة بك، تجد نفسك داخل لوحة التحكم الخاصة بشركة أخرى.”
وأضاف أن هذه الثغرة أدت إلى كشف بيانات خمسة ملايين شركة مسجلة لمدة خمسة أشهر، بما في ذلك عناوين السكن والبريد الإلكتروني لإدارات الشركات.
تأكيد رسمي من Companies House
أكدت Companies House وجود الثغرة يوم الاثنين بعد إعادة تشغيل خدمة WebFiling، موضحة أن المشكلة ظهرت عندما قامت الوكالة بتحديث نظام الخدمة في أكتوبر 2025.
وذكرت الوكالة أن استغلال هذه الثغرة كان ممكنًا فقط للمستخدمين الذين قاموا بتسجيل الدخول إلى النظام، وكان يمكن أن يسمح لهم:
- بالوصول إلى بيانات شركات أخرى
- أو تغيير بعض عناصر بيانات الشركة دون موافقتها
لكن الهيئة أشارت إلى أن استغلال الثغرة كان يتم سجلًا واحدًا في كل مرة، أي أن الوصول إلى البيانات أو سرقتها كان يتطلب تنفيذ العملية بشكل فردي لكل شركة.
البيانات التي قد تكون مكشوفة
أوضحت الوكالة أن التحقيقات أظهرت احتمال ظهور بيانات غير منشورة عادة في السجل العام لبعض الشركات لمستخدمين آخرين مسجلين في خدمة WebFiling.
اقرا ايضا : حماية البيانات الرقمية
وقد تشمل هذه البيانات:
- تواريخ الميلاد
- العناوين السكنية
- عناوين البريد الإلكتروني الخاصة بالشركات
كما قد يكون من الممكن تنفيذ إيداعات غير مصرح بها على سجلات الشركات، مثل:
- تقديم حسابات مالية
- أو تعديل بيانات المديرين
ما الذي لم يتأثر بالثغرة؟
أكدت الهيئة أن:
- كلمات مرور المستخدمين لم تتعرض للاختراق
- بيانات التحقق من الهوية مثل معلومات جواز السفر لم يتم الوصول إليها
- الوثائق المقدمة سابقًا مثل الحسابات المالية أو بيانات التأكيد لم يكن بالإمكان تعديلها
تحقيقات رسمية جارية
أبلغت Companies House عن الحادثة إلى كل من:
- Information Commissioner’s Office
- National Cyber Security Centre
وتجري حاليًا تحقيقات لمعرفة ما إذا كانت هذه الثغرة قد استُغلت للوصول إلى بيانات أي شركة أو تعديلها.
وقالت الهيئة في بيانها:
“لا توجد لدينا حتى الآن تقارير تفيد بأنه تم الوصول إلى البيانات أو تغييرها دون إذن. ومع ذلك، فإن التحقيق ما يزال مستمرًا، وسنقدم تحديثات إضافية مع تقدم العمل، ونحن ملتزمون بالشفافية طوال هذه العملية.”
