**Companies House**, eine britische Regierungsbehörde, hat am Freitag seinen WebFiling-Dienst offline genommen, um eine Sicherheitslücke zu beheben, die seit Oktober 2025 bestand. Die Schwachstelle legte potenziell die Daten von Millionen registrierter Unternehmen offen. ### Entdeckung der Schwachstelle Die Schwachstelle wurde **Companies House** von **Dan Neidle**, Gründer von **Tax Policy Associates**, gemeldet, nachdem John Hewitt von **Ghost Mail** das Problem ursprünglich entdeckt hatte, aber angeblich keine Antwort von der Behörde erhielt. "Alles, was erforderlich war, war, sich bei Companies House mit den eigenen Daten anzumelden und auf das Dashboard des eigenen Unternehmens zuzugreifen. Dann wählt man 'für ein anderes Unternehmen einreichen' und gibt die Unternehmensnummer eines beliebigen der fünf Millionen bei Companies House registrierten Unternehmen ein", [sagte Neidle](https://taxpolicy.org.uk/2026/03/13/companies-house-security-vulnerability-directors-addresses/). "Zu diesem Zeitpunkt wurde man nach einem Authentifizierungscode gefragt, den man natürlich nicht hat. Kein Problem. Drücken Sie ein paar Mal die 'Zurück'-Taste, um zu Ihrem Dashboard zurückzukehren. Außer – es ist nicht Ihr Dashboard. Es ist das Dashboard des anderen Unternehmens." ### Datenexposition Laut Neidle ermöglichte die Schwachstelle den Zugriff auf sensible Informationen, einschließlich der Wohn- und E-Mail-Adressen des Managements von Unternehmen, für alle fünf Millionen registrierten Unternehmen. **Companies House** bestätigte die Schwachstelle am Montag und gab an, dass sie während eines Updates seiner WebFiling-Systeme im Oktober 2025 eingeführt wurde.  Die Behörde räumte ein, dass angemeldete Benutzer potenziell "einige Elemente der Daten eines anderen Unternehmens ohne deren Zustimmung ändern" konnten. Sie gaben auch zu, dass die Schwachstelle ausgenutzt werden konnte, um Daten zu stehlen und Unternehmensdatensätze einzeln abzurufen. ### Auswirkungen und Untersuchung "Unsere Untersuchung hat ergeben, dass spezifische Daten einzelner Unternehmen, die normalerweise nicht im Register von Companies House veröffentlicht werden, für andere angemeldete WebFiling-Benutzer sichtbar gewesen sein könnten", [teilte Companies House](https://www.gov.uk/government/news/update-on-companies-house-webfiling-security-issue) in einer öffentlichen Ankündigung mit. Diese offengelegten Daten umfassten Geburtsdaten, Wohnadressen und E-Mail-Adressen von Unternehmen. Die Behörde wies auch auf die Möglichkeit hin, dass unbefugte Einreichungen, wie z. B. Jahresabschlüsse oder Änderungen des Direktors, im Datensatz eines anderen Unternehmens vorgenommen werden könnten. **Companies House** stellte klar, dass Benutzerpasswörter und Identitätsüberprüfungsdaten wie Reisepassinformationen nicht kompromittiert wurden. Darüber hinaus konnten bestehende eingereichte Dokumente nicht geändert werden. Die Behörde hat den Vorfall dem U.K. **Information Commissioner's Office (ICO)** und dem **National Cyber Security Centre (NCSC)** gemeldet. Eine Untersuchung ist im Gange, um festzustellen, ob die Schwachstelle ausgenutzt wurde, um auf die Daten eines Unternehmens zuzugreifen oder diese zu ändern. "Wir haben zu diesem Zeitpunkt keine Berichte darüber, dass Daten unbefugt abgerufen oder geändert wurden", [sagte Companies House](https://www.gov.uk/government/news/update-on-companies-house-webfiling-security-issue). "Unsere Untersuchung ist jedoch noch im Gange. Wir werden weitere Updates bereitstellen, sobald unsere Arbeit fortschreitet, und wir bleiben bestrebt, während des gesamten Prozesses transparent zu sein."