英国官方企业登记机构Companies House表示，其在线申报服务WebFiling近期被发现存在安全漏洞，可能在长达约五个月时间内，允许部分用户查看并编辑其他公司的数据。

据介绍，该漏洞出现在WebFiling系统的一次IT更新之后。Companies House首席执行官Andy King称，内部调查显示，问题“可能是在去年10月对WebFiling系统进行更新时产生的”。

服务一度暂停排查漏洞

在收到有关漏洞的警报后，Companies House于上周五暂停了WebFiling服务，并在本周一上午恢复上线。该机构负责维护英国官方企业登记册，目前登记在册的公司超过500万家，其中包括Tesco、BT以及BP和壳牌等富时100指数成分股公司。

Companies House表示，漏洞与浏览器的“后退”功能有关。持有授权代码并已登录WebFiling的注册用户，在特定情况下通过多次按浏览器后退键，可能访问到其他公司的记录，并查看或编辑相关信息。

涉及出生日期和住址等敏感信息

Companies House确认，通过该漏洞可访问的信息包括出生日期、住宅地址以及公司电子邮件地址。该机构还表示，存在出现未经授权申报的可能，例如在其他公司名下提交账目或变更董事信息。

不过，Companies House强调，用户密码并未暴露，用于身份验证的数据（如护照信息）也无法通过该漏洞访问，已提交的文件（包括账目或确认声明）不能被更改。

King表示，目前的评估认为，该问题“不可能被用来大规模提取数据或系统性访问记录”，访问范围仅限于单个公司记录，且需由注册的WebFiling用户逐一查看。

尚未发现未经授权访问报告 调查仍在进行

Companies House称，截至目前尚未收到任何有关未经授权访问或更改数据的报告，但相关调查仍在进行中。该机构正在检查系统数据是否存在“异常”，并将向每家公司的注册地址发送电子邮件，说明如何核查公司详情以及在发现问题时应采取的步骤。

King表示，理解此次事件可能给依赖该服务的公司和个人带来担忧和不便，并就此致歉。他强调，Companies House“非常重视保护托付给我们的数据的责任”，已迅速采取措施保障并恢复服务，并承诺“随着工作的推进，将提供进一步更新，并全程保持透明”。

他同时表示，如果发现有人利用该问题未经授权访问或更改其他公司信息，Companies House将采取“坚决行动”。

外部警示促使问题曝光

Companies House是在上周五接到税务政策协会创始人Dan Neidle的警报后，意识到这一问题。Neidle当时对Press Association表示，如果该漏洞长时间未被发现，可能“非常严重”，会使企业面临潜在欺诈风险。他援引安全研究人员的观点称，漏洞被利用的平均时间为15天，而此次问题“特别容易利用，无需黑客攻击”。

在周末期间，企业被建议检查其在Companies House登记的详细信息，以防因该漏洞而面临欺诈风险。