Uma vulnerabilidade crítica de segurança no sistema Companies House do Reino Unido expôs os dados pessoais dos diretores de mais de 5 milhões de empresas registadas. A violação, que veio à tona na última sexta-feira, permitiu o acesso não autorizado a informações confidenciais, incluindo datas de nascimento e endereços residenciais.
A natureza da falha
A falha residia no sistema WebFiling da Companies House, plataforma usada para registros e atualizações oficiais de empresas. Uma exploração simples – navegar quatro vezes pelo sistema enquanto estava conectado – permitiu que os usuários visualizassem e até alterassem detalhes de outras empresas, incluindo informações de contato do diretor.
John Hewitt, pesquisador do Ghost Mail, primeiro identificou a vulnerabilidade e a relatou à Companies House. O problema remonta a uma atualização implementada em outubro do ano passado.
Impacto e Resposta
A Companies House suspendeu rapidamente o serviço WebFiling após a descoberta da falha e o restaurou na segunda-feira após implementar uma correção. A agência pede agora a todas as empresas registadas que verifiquem os seus dados, garantindo que não foram feitas alterações não autorizadas.
O CEO Andy King enfatizou que embora a vulnerabilidade existisse, atualmente não há evidências confirmadas de uso indevido de dados. No entanto, está em curso uma investigação, com o apoio do Gabinete do Comissário de Informação (ICO) e do Centro Nacional de Segurança Cibernética (NCSC).
Por que isso é importante
Este incidente destaca o risco persistente de violações de dados em sistemas geridos pelo governo. As informações expostas podem ser exploradas para roubo de identidade, golpes de phishing ou assédio contra a liderança da empresa. A facilidade com que a falha foi desencadeada sublinha a necessidade de testes de segurança rigorosos e atualizações proativas em infraestruturas críticas.
“A exposição de tais dados pessoais levanta preocupações significativas sobre a proteção dos líderes empresariais e a integridade do registo empresarial do Reino Unido”, comentou um analista de segurança cibernética familiarizado com o caso.
A Companies House tomou medidas para conter a violação, mas o incidente serve como um lembrete claro de que mesmo sistemas essenciais podem ser vulneráveis à exploração.
