In een webapplicatie van Companies House, de Britse overheidsinstantie die het openbare handelsregister beheert, is een kritieke kwetsbaarheid ontdekt. Deze kwetsbaarheid maakte het mogelijk voor elke ingelogde gebruiker om toegang te krijgen tot de accounts van andere bedrijven. Hierdoor konden niet-publieke gegevens van vijf miljoen geregistreerde ondernemingen worden ingezien, waaronder geboortedata van bestuurders, privé-adressen en e-mailadressen.

De kwetsbaarheid werd op 12 maart ontdekt door John Hewitt van Ghost Mail, maar bestond al enkele maanden voordat er een patch werd uitgerold. Een aanvaller hoefde geen technische kennis te hebben om het lek te misbruiken. Door de optie 'file for another company' te selecteren, het unieke nummer van het doelbedrijf in te voeren en bij het invoeren van de authenticatiecode enkele keren op de terugknop te drukken, werd automatisch ingelogd op het account van het betreffende bedrijf.

Companies House bevestigde dat het lek alleen toegankelijk was voor geauthenticeerde gebruikers met een geldige code en dat het niet mogelijk was om wachtwoorden of documenten die tijdens de identiteitsverificatie zijn verzameld, zoals paspoorten, in te zien. Ook konden bestaande ingediende documenten niet worden aangepast. Volgens de instantie was het niet mogelijk om op grote schaal data te extraheren of systematisch records te benaderen; toegang was beperkt tot individuele bedrijfsgegevens, één voor één bekeken door geregistreerde gebruikers.

Hoewel er geen aanwijzingen zijn dat de kwetsbaarheid daadwerkelijk is misbruikt, adviseert Companies House bedrijven hun gegevens en indieningsgeschiedenis te controleren en eventuele onregelmatigheden te melden. De kwetsbaarheid werd in oktober 2025 geïntroduceerd en afgelopen weekend verholpen nadat de dienst op vrijdag tijdelijk was stilgelegd.