🆓 Овсянка, сэр, и данные вашей компании, пожалуйста В марте 2026 года в Великобритании всплыла интересная уязвимость, от которой у любого, кто хоть раз работал с госреестрами, волосы встают дыбом. Британский аналог нашего ЕГРЮЛ — Companies House — пять месяцев (!!!) жил с дырой в системе «WebFiling», которая позволяла любому авторизованному пользователю зайти в кабинет любой из пяти миллионов компаний. Без взлома, без сложных инструментов — просто подставив чужой ID в адресную строку и пару раз нажав кнопку «Назад». Над этим даже смеяться грешно — просто банальная ошибка в логике работы сессий, которую допустили при обновлении системы еще в октябре 2025-го, а нашли только в марте 2026-го. И нашел ее не внутренний аудит безопасности (которого, видимо, не было), а сторонний исследователь Джон Хьюитт. 🕳️ Что открывалось через эту «дыру»? Злоумышленник получал не просто доступ к публичной выписке, а к приватной панели управления компанией. А это: ➖ Реальные домашние адреса директоров. Шантаж, взломы, грабежи — все это возможные последствия знания личного адреса человека ➖ Личные данные. Полные даты рождения, имена, личные email-адреса. С помощью этих данных можно легко получить дополнительную информацию посредством социальной инженерии ➖ Изменение данных фирмы. На сайте можно было менять имена директоров, юридический адрес, и даже подавать финансовую отчетность от лица чужого бизнеса, таким образом вызывая подозрения у контролирующих органов Иными словами, за 100 фунтов (стоимость регистрации своей компании для получения доступа к системе) вы получали интерфейс управления чужим бизнесом. ✔️ Что в итоге? Хорошая новость: об уязвимости мы узнали от исследователей, а не от злоумышленников. Плохая: мы не знаем, успели ли хакеры воспользоваться этой возможностью. Возможно, скоро всплывут какие-то утечки данных, или топ-менеджеров будут тайно шантажировать, кто знает.