A **Companies House**, uma agência do governo britânico, tirou seu serviço WebFiling do ar na sexta-feira para corrigir uma vulnerabilidade de segurança que estava presente desde outubro de 2025. A falha potencialmente expôs os dados de milhões de empresas registradas. ### Descoberta da Vulnerabilidade A vulnerabilidade foi reportada à **Companies House** por **Dan Neidle**, fundador da **Tax Policy Associates**, após John Hewitt da **Ghost Mail** ter descoberto o problema inicialmente, mas supostamente não ter recebido resposta da agência. "Tudo o que era necessário era fazer login na Companies House usando seus próprios dados e acessar o painel da sua própria empresa. Em seguida, optar por 'registrar para outra empresa' e inserir o número da empresa para qualquer uma das cinco milhões de empresas registradas na Companies House", [disse Neidle](https://taxpolicy.org.uk/2026/03/13/companies-house-security-vulnerability-directors-addresses/). "Nesse ponto, você seria solicitado a um código de autenticação, que é claro que você não tem. Sem problemas. Pressione a tecla 'voltar' algumas vezes para retornar ao seu painel. Exceto – não é o seu painel. É o painel da outra empresa." ### Exposição de Dados De acordo com Neidle, a falha permitiu o acesso a informações sensíveis, incluindo os endereços residenciais e de e-mail da gerência da empresa, para todas as cinco milhões de empresas registradas. A **Companies House** confirmou a vulnerabilidade na segunda-feira, afirmando que ela foi introduzida durante uma atualização em seus sistemas WebFiling em outubro de 2025.  A agência admitiu que usuários logados poderiam ter potencialmente "alterado alguns elementos dos detalhes de outra empresa sem o consentimento delas". Eles também admitiram que a vulnerabilidade poderia ter sido explorada para roubar dados e acessar registros de empresas um por um. ### Impacto e Investigação "Nossa investigação estabeleceu que dados específicos de empresas individuais que normalmente não são publicados no registro da Companies House podem ter sido visíveis para outros usuários logados no WebFiling", [afirmou a Companies House](https://www.gov.uk/government/news/update-on-companies-house-webfiling-security-issue) em um [anúncio público](https://www.gov.uk/government/news/update-on-companies-house-webfiling-security-issue). Esses dados expostos incluíam datas de nascimento, endereços residenciais e endereços de e-mail de empresas. A agência também observou a possibilidade de registros não autorizados, como contas ou alterações de diretores, terem sido feitos no registro de outra empresa. A **Companies House** esclareceu que senhas de usuários e dados de verificação de identidade, como informações de passaporte, não foram comprometidos. Além disso, documentos já registrados não puderam ser alterados. A agência relatou o incidente ao **Information Commissioner's Office (ICO)** do Reino Unido e ao **National Cyber Security Centre (NCSC)**. Uma investigação está em andamento para determinar se a vulnerabilidade foi explorada para acessar ou modificar os detalhes de alguma empresa. "Não temos relatos nesta fase de que dados tenham sido acessados ou alterados sem permissão", [declarou a Companies House](https://www.gov.uk/government/news/update-on-companies-house-webfiling-security-issue). "No entanto, nossa investigação está em andamento. Forneceremos atualizações adicionais à medida que nosso trabalho progredir e permanecemos comprometidos em ser transparentes durante todo o processo."