Uma grande vulnerabilidade de segurança no sistema WebFiling da Companies House pode ter deixado os dados pessoais de milhões de executivos de empresas do Reino Unido expostos por cerca de cinco meses, descobriu-se.
Uma falha em uma atualização do sistema em outubro de 2025 permitiu que usuários logados visualizassem e modificassem informações confidenciais de outras empresas sem permissão.
Dados sensíveis, incluindo endereços residenciais, datas de nascimento e endereços de e-mail, podem ter sido acedidos por outros utilizadores registados no serviço de submissão online.
A violação também criou a possibilidade de fazer solicitações não autorizadas em nome de outras empresas, como apresentações contábeis ou mudanças de diretores.
A Companies House tomou conhecimento do problema na sexta-feira, 13 de março, e encerrou o serviço WebFiling às 13h30 daquele dia.
A Sky News informou que a Federação de Pequenas Empresas condenou a violação de segurança como “terrível” em uma carta ao secretário de negócios Peter Kyle.
O presidente-executivo do FSB, Craig Beaumont, disse: “Esta é uma combinação cumulativamente tóxica que está em desacordo com a agenda de crescimento do governo, que todos devemos apoiar”.
Na sua correspondência com Kyle, Beaumont disse: “A segurança das informações para os executivos de empresas deve ser uma prioridade máxima, pois qualquer violação pode levar os criminosos a usar as informações para prejudicar significativamente ou até mesmo colocar uma pequena empresa fora do mercado”.
A Companies House disse que o problema ocorreu durante uma atualização de seus sistemas em outubro do ano passado
|
GETTY
O FSB expressou particular desapontamento pelo facto de a violação ter ocorrido apesar da Companies House ter introduzido recentemente requisitos de conformidade mais rigorosos para evitar fraudes.
A organização também destacou que as taxas aumentaram significativamente, com o custo de criação de um negócio baseado em software dobrando de £ 50 para £ 100.
O presidente-executivo da Companies House, Andy King, pediu desculpas pelo incidente, admitindo que causou “preocupação e inconveniência” às empresas que dependem dos serviços da agência.
A organização relatou a violação ao Gabinete do Comissário de Informação e ao Centro Nacional de Segurança Cibernética.
Após testes independentes, o serviço WebFiling foi restaurado na segunda-feira, 16 de março, às 9h.
Peter Kyle recebeu uma carta exigindo ação da Companies House devido a uma violação de segurança digital
|
NOTÍCIAS GBA Companies House enfatizou que as senhas permaneceram seguras e os detalhes do passaporte usados para verificar a identidade não foram comprometidos.
Os documentos apresentados anteriormente, incluindo contas e declarações juramentadas, não puderam ser alterados, confirmou a agência.
King disse: “A Companys House leva extremamente a sério a responsabilidade de proteger os dados que nos são confiados.”
Ele acrescentou: “Tomamos medidas rápidas para restaurar os serviços”.
A agência disse que a vulnerabilidade não poderia ser explorada para extrair informações em massa ou acessar registros sistematicamente.
Os diretores são solicitados a revisar seus dados registrados
|
GETTY
A Companies House insta todas as empresas a revisarem seus dados registrados e histórico de arquivamento para garantir que nenhuma alteração não autorizada seja feita.
A agência entrará em contato com cada empresa pelo endereço de e-mail registrado e fornecerá instruções sobre como verificar suas informações e quais ações tomar caso surjam preocupações.
Qualquer empresa que identifique problemas potenciais deve apresentar uma reclamação formal com provas de apoio.
O FSB exigiu que a Companies House escrevesse diretamente a todos os diretores inscritos no registo, informando-os sobre as medidas tomadas para detectar e reverter alterações não autorizadas.
O grupo de pequenas empresas também quer que os executivos afetados sejam informados de quantas vezes suas contas foram acessadas e o que podem fazer para proteger suas informações.
Um porta-voz da OIC confirmou o recebimento da notificação de violação e orientou os proprietários de empresas a consultar o Centro de PMEs para obter orientação.