تقوم شركة Companies House بإعادة تشغيل الخدمات عبر الإنترنت بعد الاختراق السيبراني
نجحت شركة Companies House، مسجل الأعمال في المملكة المتحدة، في إعادة تشغيل خدمة WebFiling عبر الإنترنت بعد أن تبين أن مشكلة الأمن السيبراني غير المعروفة سابقًا كشفت بيانات مختلفة عن الشركات والأشخاص المرتبطين بها لمستخدمين آخرين قاموا بتسجيل الدخول.
لم يكن الخلل – الذي يبدو أنه نشأ خلال تحديث WebFiling العام الماضي – متاحًا لعامة الناس مطلقًا ولم يكن من الممكن استغلاله إلا للمستخدمين الذين قاموا بتسجيل الدخول ويمتلكون رمزًا معتمدًا، وقد سحبت Companies House خدمة WebFiling دون اتصال بالإنترنت في وقت الغداء يوم الجمعة 13 مارس من أجل التحقيق في الأمر وعلاجه.
ووجدت شركة Companies House أن البيانات المكشوفة شملت تواريخ الميلاد وعناوين الإقامة وعناوين الشركة. واكتشفت أيضًا أنه ربما كان من الممكن للأشخاص القيام بإجراءات غير مصرح بها – مثل تغيير المديرين أو حتى تقديم حسابات.
وشددت على عدم استخدام أي أوراق اعتماد أو بيانات للتحقق من الهوية مثل معلومات جواز السفر، ولا يمكن تغيير أي وثائق موجودة.
وقال آندي كينج، الرئيس التنفيذي لشركة Companies House: “نطلب من جميع الشركات التحقق من تفاصيلها المسجلة وتاريخ تقديم الملفات للتأكد من أن كل شيء يبدو صحيحًا. إذا كانت لدى شركة ما مخاوف، فيرجى رفع شكوى وتضمين أدلة لوصف هذه المخاوف.
“أدرك أن هذا الحادث كان سيسبب قلقًا وإزعاجًا للعديد من الشركات والأفراد الذين يعتمدون على خدماتنا. أنا آسف لذلك.
“تتحمل شركة Company House مسؤوليتها لحماية البيانات الموكلة إلينا على محمل الجد. وقال كينغ: “لقد اتخذنا إجراءات سريعة لتأمين خدماتنا واستعادتها، ونحن ملتزمون ببذل كل ما في وسعنا لدعم المتضررين والتأكد من أن خدماتنا لا تزال تستحق الثقة الممنوحة لهم”.
تم الإبلاغ عن الحادث إلى كل من مكتب مفوض المعلومات (ICO) والمركز الوطني للأمن السيبراني (NCSC). وقال كينغ إن المسجل لا يزال يقوم بتحليل بياناته بنشاط لمحاولة تحديد أي حالات شاذة. وأضاف: “إذا وجدنا دليلاً على أن أي شخص استخدم هذه المشكلة للوصول إلى تفاصيل شركة أخرى أو تغييرها دون تصريح، فسنتخذ إجراءات صارمة”.
ضعف بسيط
تم الإبلاغ عن هذه المشكلة لأول مرة إلى Companies House بواسطة Dan Neidle، من مؤسسة Tax Policy Associates غير الربحية، نيابةً عن John Hewitt، مدير العمليات في Ghost Mail، مزود خدمات العناوين البريدية.
وقال نيدل، وهو يكتب عبر الإنترنت، إن استغلال الثغرة الأمنية “بسيط للغاية”. كل ما كان على المستخدم الذي قام بتسجيل الدخول القيام به هو النقر فوق خيار “ملف لشركة أخرى” – والذي عادةً ما يطلب رمز المصادقة لإيقاف الوصول غير المصرح به. ومع ذلك، إذا قام المستخدم الذي قام بتسجيل الدخول بالضغط على مفتاح مسافة للخلف عدة مرات، فسيتم إعادته ليس إلى لوحة التحكم الخاصة به، ولكن إلى لوحة التحكم الخاصة بالشركة “الهدف”.
وقال نيدل إن الرجلين تمكنا من استخدام الثغرة الأمنية لعرض لوحة التحكم الخاصة بفرد آخر – بإذن منهم – وتعديل عنوانه المسجل في Companies House بنجاح. قال: “كنت متشككًا فيما أظهره لي جون”.
هل تم استغلال الخلل؟
من غير الواضح ما إذا كان قد تم استغلال الثغرة أم لا، ولكن من وجهة نظر شركة Companies House، فمن غير المرجح أيضًا أن يحدث أي وصول منهجي إلى سجلات الشركة أو استخراج بيانات على نطاق واسع لأن أي وصول حدث كان سيقتصر على سجلات الشركة الفردية، ويعرضها مستخدم مسجل واحدًا تلو الآخر.
وأشار نيدل إلى أن الخلل كان موجودًا وقابلاً للاستغلال منذ أكتوبر 2025، مما يعني أن هناك سياسة واضحة لاكتشافه من قبل جهة تهديد. وقال إنه لو كان الأمر كذلك، فمن المحتمل أنه تم استخدامه “بعناية وانتقائية ومن أجل الربح” لأنه كان من الممكن اكتشاف الاستغلال الواسع النطاق بسرعة.
وقال ويليام رايت، الرئيس التنفيذي لشركة Closed Door Security، إن القدرة على الوصول إلى تفاصيل الشركة وتحريرها توفر قدرًا كبيرًا من الفسحة لكل من عمليات الاحتيال الصريحة والدقيقة، وتسببت في حالة من عدم اليقين الخطير حول النظام الذي تستخدمه الغالبية العظمى من الشركات البريطانية.
وقال رايت: “إن مديري الشركات وكبار المسؤولين التنفيذيين يعدون بالفعل أهدافًا مربحة للتصيد الاحتيالي والمحتالين: فهؤلاء الأفراد عادةً ما يتمتعون بامتياز الوصول إلى أنظمة الشركة ويطلعون على معلومات حساسة وقيمة”.
“إن القدرة على الحصول على تفاصيل مثل عناوين المنازل، وما إلى ذلك، تجعل الهجمات المستهدفة مثل التصيد الاحتيالي ضد هؤلاء الأفراد أكثر قابلية للتطبيق وتزيد من احتمالية العديد من أنواع الاحتيال والمضايقات المستهدفة. ناهيك عن الآثار المترتبة على اللائحة العامة لحماية البيانات في حالة الكشف عن المعلومات.”
وتابع: “إن إمكانية تعديل تفاصيل تسجيل الشركات تمثل أيضًا مشاكل واضحة. ويمكن معاقبة الشركات بطرق مختلفة لتقديم معلومات غير دقيقة عند تقديم الطلب، ويمكن أن يؤدي ذلك في بعض الحالات إلى اتهامات خطيرة بالاحتيال. ويمكن لأي شخص تعديل تفاصيل الحقيقة دون تصريح، مما قد يثير مشاكل خطيرة للتحقيقات المستقبلية، خاصة إذا كان هناك أي شك في التلاعب”.
وأضاف رايت أن طول الفترة الزمنية التي لم يتم اكتشاف الخلل فيها يثير أيضًا أسئلة أكثر خطورة بالنسبة لشركة Companies House، لأنها تشير إلى أن الهيئة المكلفة بتزويد الجمهور بمصدر واحد وشفاف للمعلومات الدقيقة عن الشركات البريطانية، كانت تفتقر إلى إجراءات التدقيق أو التسجيل أو الاختبار المناسبة التي كان من الممكن أن تكتشفها عاجلاً، ودون مساعدة خارجية.
وقال رايت: “لو كانت عمليات الاختبار الأمني الحالية التي تجريها الحكومة والشركات مناسبة للغرض، لما كان من الممكن أن تحدث مثل هذه العيوب”. “بالنظر إلى أن العديد من الشركات ملزمة بموجب القانون باستخدام هذه الخدمات، فإن الاختبارات الأساسية وحماية البيانات أمر بالغ الأهمية، خاصة إذا كانت الحكومة تريد الحفاظ على مصداقيتها مع مجتمع الأعمال.”
رئيس تحرير يمني وصحفي محترف حاصل على درجة في الإعلام. عمل في عدة صحف ومواقع إخبارية وتدرّج من محرر إلى رئيس تحرير. يشرف على المحتوى الإخباري ويقود فريقًا صحفيًا مع الالتزام بالمصداقية والمهنية.
