أكد السجل التجاري الرسمي في المملكة المتحدة، والمعروف باسم "شركة هاوس" (Companies House)، وجود ثغرة أمنية خطيرة في خدمة "ويب فايلينج" (WebFiling) الخاصة به، مما أدى إلى كشف المعلومات الحساسة لحوالي خمسة ملايين شركة مسجلة. استمرت هذه الثغرة في العمل لمدة خمسة أشهر بدءاً من أكتوبر 2025، وسمحت للمستخدمين المصادَق عليهم بتجاوز ضوابط الوصول المقررة. ووفقاً لباحث الأمن السيبراني دان نيدل، مؤسس "تاكس بوليسي أسوسيتس"، فإن تسلسل الاستغلال كان بسيطاً بشكل مقلق: حيث يقوم المستخدم بتسجيل الدخول إلى لوحة تحكم شركته، ويختار خيار "التقديم نيابة عن شركة أخرى"، ثم يدخل رقم تسجيل أي شركة أخرى. عند المطالبة برمز المصادقة - الذي لا يمتلكه المستخدم - يمكنه ببساطة الضغط على زر "الرجوع" في المتصفح عدة مرات. هذه الحركة تتجاوز فحص الأمان، وتعيد توجيه المستخدم ليس إلى لوحة تحكم شركته، بل إلى لوحة التحكم الكاملة للشركة التي استهدفها في البداية.
شملت البيانات المكشوفة معلومات شخصية حساسة للغاية، مثل عناوين المنازل وعناوين البريد الإلكتروني للمديرين وأفراد الإدارة الآخرين في الشركات. يُعد هذا النوع من البيانات هدفاً رئيسياً لحملات التصيد الاحتيالي وسرقة الهوية وأشكال أخرى من التجسس الصناعي. ورد أن الثغرة اكتشفت من قبل جون هيويت من "غوست ميل"، ولكن بعد عدم تلقي رد من "شركة هاوس"، تم تصعيد المشكلة من قبل دان نيدل. رداً على ذلك، أوقفت "شركة هاوس" خدمة "ويب فايلينج" يوم الجمعة لتنفيذ إصلاح، وأعادت تشغيلها يوم الاثنين بعد حل الثغرة. عزت الوكالة فجوة الأمان إلى تحديث للنظام تم إجراؤه في أكتوبر 2025، مما يسلط الضوء على الحاجة الماسة لإجراء اختبارات أمنية صارمة بعد أي تغييرات في البنية التحتية لتكنولوجيا المعلومات.
يؤكد هذا الحادث تحدياً مستمراً في الخدمات الرقمية للقطاع العام: وهو الموازنة بين إمكانية الوصول والأمان القوي. بينما تُصمم خدمات مثل "ويب فايلينج" لتكون ملائمة، فإن ثغرة منطقية واحدة في سير عمل المصادقة يمكن أن تؤدي إلى خروقات هائلة للبيانات. نافذة التعرض التي استمرت خمسة أشهر مقلقة بشكل خاص، مما يشير إلى وجود فجوة محتملة في المراقبة الأمنية الاستباقية أو عمليات الإفصاح عن الثغرات. يجب على المؤسسات التي تدير مجموعات بيانات عامة ضخمة تنفيذ تحقق أمني مستمر صارم، بما في ذلك اختبارات الاختراق المنتظمة والفحوصات الآلية لتجاوزات التفويض، لمنع مثل هذه الثغرات الخاصة "بكسر تحكم الوصول"، والتي تحتل باستمرار مرتبة متقدمة بين أهم مخاطر أمن تطبيقات الويب وفقاً لمشروع OWASP.
شهد المشهد الأوسع للأمن السيبراني هذا الأسبوع عدة تهديدات حرجة أخرى. تم اختراق حزمة تطوير برامج "أبس فلاير" الويبية (Web SDK) لتوزيع جافا سكريبت لسرقة العملات المشفرة، وتحقق مكتب التحقيقات الفيدرالي (FBI) في برامج ضارة موزعة عبر ألعاب "ستيم"، وحذرت وكالة الأمن السيبراني الأمريكية (CISA) من الاستغلال النشط لثغرة في خادم "وينغ إف تي بي". في الوقت نفسه، عالجت "مايكروسوفت" مشكلة حيث كان تطبيق "سامسونج" يمنع الوصول إلى محرك الأقراص C: في ويندوز، ووضحت هجوماً متطوراً على "سترايكر" مسح آلاف الأجهزة دون استخدام برامج ضارة تقليدية. تؤكد هذه الأحداث مجتمعة أن التهديدات تتطور عبر جميع النواقل - من سلاسل توريد برامج الطرف الثالث ومنصات الألعاب الشهيرة إلى التطبيقات المؤسسية والأجهزة الطبية المادية - مما يتطلب استراتيجية دفاعية متعددة الطبقات ويقظة.
