O escritório que registra todas as sociedades do Reino Unido, Companies House, reabriu o seu serviço da WebFiling após o encerramento de urgência para corrigir uma falha de segurança que, segundo os relatórios, permitia aceder à informação interna de milhões de empresas. O problema apareceu após uma atualização realizada em outubro de 2025 e teria permanecido ativo durante vários meses, expondo dados sensíveis relacionados à direção e contato dos responsáveis pelas empresas registradas.
O achado chegou à opinião pública depois que o pesquisador John Hewitt, conhecido por seu trabalho com Ghost Mail, informasse do erro e não obteve resposta suficiente, pelo que Dan Neidle, fundador da organização sem fins lucrativos Tax Policy Associates, apresentasse a incidência ante Companies House. A descrição técnica do defeito é inquietantemente simples: iniciando sessão com uma conta legítima e optando por "apresentar em nome de outra empresa", ao introduzir um número de empresa e retroceder no navegador, a sessão poderia ficar “enganchada” no prontuário de outra sociedade. Em outros termos, um usuário autenticado poderia acabar vendo o painel de administração de outra empresa sem ter o código de verificação correspondente.
O alcance estimado do problema é grande: Fala-se de até cinco milhões de registros potencialmente afetados durante um período de cerca de cinco meses. Os dados que podem ter sido visíveis incluem datas de nascimento, endereços residenciais e endereços de e-mail associados às empresas. Companies House confirmou que, segundo suas primeiras investigações, não se comprometeram senhas nem documentos utilizados na verificação de identidade (por exemplo, passaportes), e que os documentos já apresentados publicamente não podiam ser modificados por esta decisão. A própria agência publicou uma nota explicando a sua avaliação inicial e as medidas tomadas: comunicado de Companies House.
A agência indicou ainda que a vulnerabilidade só poderia ser explorada por usuários autenticados e que o método permitia acessar registros de um em um, o que limita certos ataques massivos automatizados, mas não elimina completamente o risco de abuso sistemático, por exemplo para coletar endereços ou elaborar listados para campanhas de phishing. Companies House comunicou o incidente ao Escritório do Comissariado de Informação do Reino Unido ( ICO) e ao Centro Nacional de Segurança Cibernética ( NCSC) e assegura que a investigação continua em curso.
Para além da cronologia e das declarações oficiais, as consequências práticas que inquietam empresas e gestores são claras. A exposição de endereços pessoais e e-mails aumenta o risco de campanhas de engenharia social, assédio, roubo de identidade e fraudes que suplantam membros do conselho ou administradores. A informação pública que fornece transparência comercial também acarreta uma tensão com a privacidade: o registro público busca prevenir crimes financeiros e aumentar a transparência, mas quando os mecanismos técnicos falham, essa mesma abertura pode tornar-se uma vulnerabilidade.
O que as empresas e os gestores podem fazer agora? Em primeiro lugar, rever as notificações e o histórico de atividade em Companies House para detectar alterações não autorizadas. É prudente ativar qualquer mecanismo de alerta que ofereça o registro, e verificar e-mails e chamadas suspeitas que poderiam buscar aproveitar dados filtrados. As pessoas cujos domicílios figurem no registo podem ser convidadas a solicitar a protecção do endereço residencial quando a regulamentação o permita, e todas as empresas devem reforçar controlos internos: validar notificações sobre alterações no registo através de canais independentes, verificar empresas e autorizações antes de aceitar modificações e, se for detectada atividade anómala, contactar Companies House e considerar uma notificação formal à ICO.
Do ponto de vista técnico e organizacional, o incidente destaca falhas habituais na gestão de mudanças e implantaçãos: as atualizações que introduzem regresões na lógica de sessões ou no controle de acesso são uma fonte recorrente de vazamentos. Auditorias de código, testes de regressão, revisões de controle de acesso e programas de divulgação responsável (bug bounty) São medidas que ajudam a detectar falhas antes de chegarem à produção. Além disso, os registos públicos com impacto na privacidade devem equilibrar a disponibilidade com controlos rigorosos de segurança e um plano de resposta claro e transparente quando algo correr mal.
A situação também levanta uma reflexão mais ampla sobre a confiança nas infra-estruturas públicas digitais. Os registros comerciais são pilares do ecossistema empresarial: facilitam due diligence, contratação e supervisão. Mas o seu funcionamento seguro depende tanto da qualidade do software como da governança que o rodeia: versões, testes, documentação e processos de notificação. A comunicação da Companies House e o facto de terem informado organismos reguladores são passos necessários, mas para recuperar a confiança será essencial que as investigações determinem se a vulnerabilidade chegou a ser explorada e que as lições aprendidas e as melhorias implementadas serão publicadas.
Para aqueles que querem seguir a evolução oficial do caso, convém consultar as fontes primárias: a notificação de Companies House no site do governo ( detalhes oficiais) e o relatório inicial do Tax Policy Associates que documenta a descoberta ( Análise de Dan Neidle). Também é recomendável monitorar as publicações e guias da ICO e do NCSC Para recomendações e passos a seguir se se suspeita que foi afetado.
Em suma, este incidente é um lembrete para as administrações e empresas: a transparência pública não pode ser uma desculpa para negligenciar a segurança. Quando a infraestrutura suporta informações críticas falham, as consequências saem do âmbito técnico e afetam a vida diária de pessoas e negócios. A resposta será medida não só pelas correcções aplicadas, mas pela clareza, pela rapidez na investigação e pelas garantias que são fornecidas para que algo semelhante não volte a acontecer.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...