Companies House ist die britische Behörde, die das öffentliche Register der im Vereinigten Königreich eingetragenen Unternehmen führt. Laut Tax Policy Associates entdeckte John Hewitt von Ghost Mail die kritische Schwachstelle am 12. März, doch sie hatte bereits mehrere Monate bestanden, bevor ein Patch bereitstand.
Der Kern des Problems: Jeder angemeldete Nutzer konnte auf die Konten fremder Unternehmen zugreifen. Damit hätte ein Angreifer die nicht-öffentlichen Daten von fünf Millionen registrierten Firmen einsehen können, etwa Geburtsdaten, Privatadressen und E-Mail-Adressen von Direktoren. Zudem hätte er Firmenangaben ändern und unautorisierte Einreichungen vornehmen können.
Der Angriff setzte zwar eine Authentifizierung voraus, war ansonsten aber denkbar einfach und ohne technisches Wissen durchführbar. Es genügte, die Option zum Einreichen für ein anderes Unternehmen zu wählen, die eindeutige Nummer der Zielfirma einzugeben und bei der Abfrage des Authentifizierungscodes mehrfach die Zurück-Taste zu drücken. Anschließend war man automatisch im Konto des Zielunternehmens angemeldet.
In einer am Montag veröffentlichten Stellungnahme bestätigte Companies House die Lücke und führte sie auf den WebFiling-Dienst zurück. Der Fehler sei im Oktober 2025 eingeführt worden; behoben wurde er am Wochenende, nachdem der Dienst am Freitag abgeschaltet worden war. „Dies war für die breite Öffentlichkeit nicht zugänglich. Nur Nutzer mit einem autorisierten Code, die im Dienst angemeldet waren, hätten diese Aktion ausführen können", erklärte die Behörde.
Nach Angaben von Companies House waren Passwörter sowie die bei der Identitätsprüfung erhobenen Daten – etwa Passdaten – nicht betroffen. Auch bereits eingereichte Dokumente hätten nicht verändert werden können. „Wir gehen davon aus, dass dieses Problem nicht genutzt werden konnte, um Daten in großem Umfang abzuziehen oder systematisch auf Datensätze zuzugreifen. Jeder Zugriff wäre auf einzelne Unternehmensdatensätze beschränkt gewesen, die ein registrierter WebFiling-Nutzer jeweils einzeln einsehen konnte", so die Behörde weiter.
Companies House erklärte zudem, keine Kenntnis von Fällen zu haben, in denen über die Schwachstelle tatsächlich Daten abgerufen oder verändert wurden. Unternehmen sollten ihre Angaben und ihren Einreichungsverlauf dennoch überprüfen und etwaige Auffälligkeiten melden.
