CEVIU Logo
Voltar

Falha no Companies House do Reino Unido Expõe Dados Corporativos a Fraudadores

Aprofundamento CEVIU

Aprofundamento

A falha no WebFiling do Companies House não foi um ataque externo, mas uma falha de autorização introduzida em outubro de 2025 durante a migração para o GOV.UK One Login, um erro que ficou ativo por cinco meses sem detecção. O problema permitia que qualquer usuário logado, com acesso legítimo ao sistema, burlasse controles de sessão pressionando 'voltar' repetidamente após a tela de autenticação, acessando dados sensíveis de outras empresas: datas de nascimento (apenas o dia), endereços residenciais de diretores e e-mails corporativos. Esses dados, embora parciais, são suficientes para fraudes como roubo de identidade ou personificação de empresas em operações bancárias ou fiscais.

O serviço ficou fora do ar por mais de 63 horas, entre 13h30 de 13/03 e 9h de 16/03, e só voltou após testes independentes. Apesar de o Companies House afirmar que senhas e documentos já arquivados não foram afetados, a brecha abria caminho para alterações não autorizadas em tempo real: mudanças de diretores, envio de contas falsas ou atualizações maliciosas de endereços de correspondência, tudo sem rastreamento automático de quem fez o que, pois o sistema não registrava adequadamente a empresa-alvo da ação.

Por que isso importa

Esse caso expõe um risco crônico em sistemas governamentais de registro: a priorização de integração técnica sobre controle de acesso granular. Ao migrar para um novo provedor de identidade, o Companies House não revalidou as regras de autorização em todas as transições de tela, especialmente em fluxos secundários como 'file for another company'. Para empresas brasileiras com filiais no Reino Unido ou que usam dados do Companies House para due diligence, a falha significa que informações de contato e estrutura societária podem ter sido manipuladas sem aviso. E o pior: não há mecanismo automático de notificação de alteração, cabe à empresa verificar manualmente seu próprio registro, o que torna a detecção tardia e a resposta reativa.

Perguntas frequentes

Quem poderia explorar essa falha?

Apenas usuários logados no WebFiling com credenciais válidas. Não era acessível ao público geral, mas qualquer contador, agente de compliance ou representante legal que tivesse acesso ao sistema podia acidental ou intencionalmente acessar dados de outra empresa usando o truque da tecla 'voltar'.

Quais dados pessoais foram expostos?

O dia da data de nascimento de diretores (não mês nem ano), endereços residenciais completos e endereços de e-mail das empresas. Informações protegidas pela Companies Act 2006, como números de passaporte ou cópias de RG, não foram acessadas.

Minha empresa pode ter sido alterada sem meu conhecimento?

Sim. A falha permitia não só visualizar, mas também arquivar documentos em nome de outra empresa, como mudanças de diretoria ou submissão de contas falsas. O Companies House não informou se há logs capazes de vincular essas ações ao usuário real, apenas que 'documentos já arquivados não puderam ser alterados'.

O que devo fazer agora se sou diretor de uma empresa registrada no UK?

Acesse seu painel no Companies House, revise todos os dados cadastrais e o histórico de arquivamentos dos últimos cinco meses. Verifique se houve mudanças de endereço, diretores ou envios de documentos sem sua autorização. Guarde capturas de tela de qualquer inconsistência e reporte imediatamente ao suporte oficial.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
17 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser