UK’s Companies House, het Britse overheidsorgaan dat het handelsregister beheert, heeft bevestigd dat een beveiligingslek in hun WebFiling-service sinds oktober 2025 de gegevens van vijf miljoen geregistreerde bedrijven heeft blootgesteld. De dienst werd vrijdag offline gehaald om het lek te verhelpen en is inmiddels weer operationeel.

De kwetsbaarheid werd ontdekt door John Hewitt van Ghost Mail en gemeld door Dan Neidle van Tax Policy Associates nadat er geen reactie kwam op het eerste signaal. Door in te loggen met eigen gegevens en vervolgens de optie te kiezen om namens een ander bedrijf documenten in te dienen, was het mogelijk om via de 'terug'-knop toegang te krijgen tot het dashboard van een willekeurig ander bedrijf. Hierdoor konden onder meer geboortedata, woonadressen en zakelijke e-mailadressen van directieleden worden ingezien. Volgens Companies House kon het lek alleen worden misbruikt door ingelogde gebruikers en was het mogelijk om enkele gegevens van andere bedrijven zonder toestemming aan te passen, maar alleen één voor één.

Het lek ontstond bij een update van het WebFiling-systeem in oktober 2025. Hoewel er geen aanwijzingen zijn dat wachtwoorden of identiteitsverificatiegegevens zoals paspoortinformatie zijn buitgemaakt, onderzoekt Companies House samen met de Information Commissioner's Office en het National Cyber Security Centre of er daadwerkelijk misbruik is gemaakt van de kwetsbaarheid. Tot nu toe zijn er geen meldingen van ongeautoriseerde toegang of wijzigingen, maar het onderzoek loopt nog. Companies House benadrukt transparant te blijven over de voortgang.