Companies House ha sospeso il suo servizio WebFiling online dopo che una vulnerabilità informatica ha consentito agli utenti di accedere e potenzialmente modificare dati personali sensibili appartenenti ad altre aziende registrate nel registro delle imprese del Regno Unito.
Il problema è emerso dopo che una falla di sicurezza nel dashboard online dell’agenzia governativa ha consentito alle persone di navigare nei conti di altre società semplicemente premendo il pulsante Indietro del browser. Secondo i rapporti, il problema tecnico potrebbe rivelare informazioni riservate tra cui indirizzi di casa, indirizzi e-mail e date di nascita dei direttori, dati che potrebbero essere potenzialmente sfruttati per frode o furto di identità.
La vulnerabilità è stata identificata da Dan Neidle, fondatore di Tax Policy Associates, che venerdì ha allertato la Companies House del problema. Neidle ha avvertito che il difetto potrebbe avere gravi implicazioni se fosse esistito per un periodo prolungato prima di essere rilevato.
“Questo potrebbe essere molto serio se fosse in circolazione da molto tempo”, ha detto, descrivendo la vulnerabilità come “un difetto assolutamente folle per quanto sia facile da trovare.”
A seguito dell’allarme, la Companies House ha confermato di aver chiuso il sistema WebFiling mentre era in corso un’indagine. La piattaforma è ampiamente utilizzata dalle aziende di tutto il Regno Unito per inviare documenti ufficiali come conti annuali, dichiarazioni di conferma e altri documenti legali.
Un portavoce di Casa delle imprese ha dichiarato: “Siamo a conoscenza di un problema con il nostro servizio WebFiling e lo abbiamo chiuso mentre indaghiamo. Ci scusiamo per eventuali disagi ai nostri clienti.”
È probabile che la sospensione temporanea del servizio interrompa la normale archiviazione aziendale mentre i team tecnici valutano la portata del problema e determinano se è stato effettuato un accesso improprio ai dati.
Gli esperti di sicurezza informatica affermano che vulnerabilità di questa natura potrebbero creare opportunità per attività criminali, in particolare quando sono coinvolte informazioni aziendali sensibili. Dati personali come gli indirizzi di casa e le date di nascita dei direttori possono essere utilizzati dai truffatori per impersonare leader aziendali, presentare documenti fraudolenti o tentare il furto di identità.
Graeme Stewart, capo del settore pubblico presso sicurezza informatica La società Check Point Software, ha avvertito che la falla avrebbe potuto esporre i direttori dell’azienda a rischi significativi se sfruttata da malintenzionati.
“Questo è l’ultimo di una serie di disastri legati ai dati del settore pubblico che minacciano la privacy, la sicurezza e l’incolumità personale di centinaia di migliaia di direttori aziendali”, ha affermato.
“Un bug di questa portata è un regalo per i criminali informatici che cercano di caricare documentazione falsa, impersonare amministratori delegati e facilitare il furto di dati. È tempo di una revisione completa dei sistemi principali, con la sicurezza integrata fin dall’inizio anziché aggiunta in un secondo momento.”
L’incidente ha anche sollevato preoccupazioni circa la resilienza dei sistemi digitali utilizzati dalle agenzie governative per gestire dati nazionali critici. La Companies House conserva i registri di oltre cinque milioni di aziende del Regno Unito ed elabora milioni di documenti ogni anno.
Kenny MacAulay, amministratore delegato della piattaforma software di contabilità Acting Office, ha affermato che la vulnerabilità ha evidenziato problemi più profondi relativi alla sicurezza digitale e alla supervisione del sistema.
“Un altro giorno, un altro enorme errore relativo ai dati del settore pubblico”, ha detto. “È difficile credere che gli hacker possano accedere così facilmente all’intero dashboard di decine di migliaia di aziende e ai loro rispettivi direttori in tutto il Regno Unito.
“Dovrebbero essere stabiliti requisiti di conformità di base per evitare che si verifichino fughe di dati come questa, con i siti controllati accuratamente per rilevare bug e punti deboli di sicurezza su base regolare.”
Ai sensi del Computer Misuse Act del 1990 del Regno Unito, l’accesso non autorizzato ai sistemi o ai dati informatici può comportare gravi conseguenze legali. L’accesso a materiale informatico senza autorizzazione può portare a una pena detentiva fino a due anni, mentre l’accesso ai dati con l’intento di commettere ulteriori reati come la frode può comportare pene fino a cinque anni.
La scoperta della falla avviene nel contesto di un crescente controllo del sistema di registro delle imprese del Regno Unito. Negli ultimi anni la Companies House ha subito riforme significative volte a migliorare la trasparenza e ridurre le frodi, inclusa l’introduzione di nuove regole di verifica dell’identità per i direttori delle società.
Tuttavia, gli specialisti della sicurezza informatica affermano che l’ultimo incidente sottolinea la necessità di continuare a investire in infrastrutture digitali sicure, in particolare per i sistemi che contengono dati personali e aziendali sensibili.
Companies House non ha ancora confermato da quanto tempo esisteva la vulnerabilità o se i dati sono stati accessibili o utilizzati in modo improprio prima che il servizio fosse messo offline. Le indagini sulla violazione sono in corso e l’agenzia dovrebbe fornire ulteriori aggiornamenti una volta completata la revisione.
Amy Ingham
Amy è una giornalista appena qualificata specializzata in giornalismo economico presso Business Matters, responsabile dei contenuti delle notizie per quella che oggi è la più grande fonte cartacea e online di notizie economiche attuali del Regno Unito.
