A Companies House, órgão do governo britânico responsável pelo registro de todas as empresas do Reino Unido, anunciou que seu serviço WebFiling voltou ao ar após ter sido suspenso na última sexta-feira para corrigir uma vulnerabilidade que expôs informações empresariais desde outubro de 2025.
A falha foi reportada à Companies House por Dan Neidle, fundador da organização sem fins lucrativos Tax Policy Associates, após John Hewitt, da Ghost Mail, que encontrou o problema inicialmente, não receber resposta à sua notificação.
Neidle explicou que o acesso indevido ocorria da seguinte forma: ao fazer login na plataforma com suas próprias credenciais e acessar o painel da própria empresa, o usuário podia selecionar a opção “file for another company” (registrar para outra empresa) e inserir o número de qualquer uma das cinco milhões de companhias registradas.
Na etapa seguinte, o sistema solicitava um código de autenticação — que o usuário não possuía.
No entanto, ao pressionar o botão “voltar” algumas vezes, em vez de retornar ao seu painel, o sistema exibida o painel da outra empresa consultada.
Essa falha expôs informações sensíveis de cinco milhões de empresas por um período de cinco meses, incluindo endereços residenciais e e-mails dos responsáveis pelas companhias.
Após a reativação do serviço na última segunda-feira, a Companies House confirmou que a vulnerabilidade foi introduzida durante a atualização do sistema WebFiling em outubro de 2025.
A agência destacou que o problema poderia ser explorado apenas por usuários autenticados e permitiria alterar alguns dados de outras empresas sem autorização.
No entanto, o acesso a informações estava restrito a uma empresa por vez, descartando acessos em massa.
Segundo o comunicado, dados não públicos, como datas de nascimento, endereços residenciais e e-mails corporativos, ficaram potencialmente disponíveis para outros usuários conectados ao WebFiling.
Além disso, usuários não autorizados poderiam ter realizado registros falsos, como alterações de diretorias ou envio de documentos, em nome de outras companhias.
A Companies House afirmou que nenhuma senha foi comprometida e que informações usadas no processo de verificação de identidade, como dados de passaporte, não foram acessadas.
Documentos já arquivados, como demonstrações financeiras ou declarações de conformidade, também não poderiam ter sido modificados durante o período da falha.
O incidente foi reportado ao Information Commissioner’s Office (ICO) e ao National Cyber Security Centre (NCSC), que investigam se houve exploração da falha para acessar ou alterar registros corporativos.
Por fim, a agência reforçou: “Até o momento, não há relatos de dados acessados ou modificados sem autorização.
Nossa investigação continua em andamento e manteremos transparência ao longo do processo, fornecendo atualizações conforme avançamos.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...