Krytyczna luka w UK Companies House mogła narazić dane milionów firm

Wprowadzenie do problemu / definicja

W brytyjskim rejestrze spółek Companies House ujawniono krytyczną podatność w usłudze WebFiling, która mogła umożliwiać zalogowanym użytkownikom nieautoryzowany dostęp do kont innych podmiotów. Problem dotyczył nie tylko poufnych danych organizacyjnych i osobowych, ale również potencjalnej możliwości składania nieuprawnionych zgłoszeń oraz modyfikacji wybranych informacji rejestrowych. Z perspektywy cyberbezpieczeństwa to incydent wysokiej wagi, ponieważ łączy ekspozycję danych z ryzykiem naruszenia integralności procesów administracyjnych.

W skrócie

Podatność dotyczyła systemu WebFiling wykorzystywanego przez Companies House do obsługi zgłoszeń firmowych. Według ujawnionych informacji luka mogła istnieć od października 2025 roku i została zaadresowana po wyłączeniu usługi 13 marca 2026 roku, a następnie przywróceniu jej 16 marca 2026 roku.

Problem miał umożliwiać zalogowanemu użytkownikowi dostęp do danych innych spółek, w tym dat urodzenia dyrektorów, adresów zamieszkania i adresów e-mail. Dodatkowo mogło być możliwe składanie nieautoryzowanych zgłoszeń, takich jak zmiany danych dyrektora czy przesyłanie dokumentów. Oficjalnie nie potwierdzono, iż doszło do nadużyć, jednak skala potencjalnego wpływu obejmowała choćby około pięciu milionów zarejestrowanych firm.

Kontekst / historia

Companies House pełni kluczową rolę w brytyjskim systemie gospodarczym jako instytucja odpowiedzialna za prowadzenie publicznego rejestru spółek. Z tego powodu każda słabość bezpieczeństwa w tej platformie ma znaczenie nie tylko operacyjne, ale również prawne, finansowe i reputacyjne.

Według opublikowanych informacji podatność została odkryta 12 marca 2026 roku. Następnie usługa WebFiling została wyłączona 13 marca 2026 roku w celu analizy i usunięcia problemu. Oficjalny komunikat wskazał, iż źródłem incydentu była zmiana wprowadzona podczas aktualizacji systemów w październiku 2025 roku, co oznacza, iż luka mogła pozostawać aktywna przez około pięć miesięcy.

Istotne jest to, iż podatność nie była dostępna dla anonimowych użytkowników internetu. Jej wykorzystanie wymagało posiadania konta i zalogowania do usługi. Nie obniża to jednak znacząco poziomu ryzyka, ponieważ utworzenie własnego, legalnego dostępu do systemu przez podmiot kontrolowany przez atakującego mogło być relatywnie proste.

Analiza techniczna

Z technicznego punktu widzenia incydent wskazuje na błąd w mechanizmach autoryzacji i zarządzania stanem sesji. Opisany scenariusz sugeruje problem z kontrolą kontekstu użytkownika po przejściu między widokami aplikacji. Użytkownik wybierał opcję działania na rzecz innej spółki, wprowadzał numer firmy docelowej, a następnie po cofnięciu się w interfejsie miał uzyskiwać dostęp do panelu tej organizacji bez poprawnej weryfikacji kodu autoryzacyjnego.

Taki wzorzec zachowania wskazuje, iż aplikacja mogła błędnie wiązać stan sesji z wybranym rekordem firmy jeszcze przed zakończeniem pełnego procesu uwierzytelnienia operacji. o ile backend aktualizował kontekst obiektu docelowego przed finalnym sprawdzeniem uprawnień, cofnięcie na poziomie przeglądarki mogło pozostawić aktywną sesję w stanie pozwalającym na wyświetlenie lub modyfikację danych obcej organizacji.

Kluczowe znaczenie ma tutaj rozróżnienie między uwierzytelnieniem użytkownika a autoryzacją dostępu do konkretnego zasobu. Użytkownik był prawidłowo zalogowany do systemu, ale nie powinien uzyskać dostępu do panelu innej firmy bez ważnej autoryzacji dla tego zasobu. Oznacza to potencjalne naruszenie zasad object-level authorization, czyli jednej z najpoważniejszych klas błędów w aplikacjach webowych.

Dodatkowo charakter podatności sugeruje niedostateczne zabezpieczenie krytycznych operacji biznesowych. jeżeli możliwe było składanie nieuprawnionych zgłoszeń lub zmiana danych dyrektorów i adresów, zawiódł nie tylko mechanizm kontroli dostępu, ale również zabezpieczenia integralności procesu biznesowego, w tym walidacja operacji wysokiego ryzyka oraz niezależne potwierdzanie zmian.

Konsekwencje / ryzyko

Potencjalne skutki incydentu są poważne. Ujawnienie niepublicznych danych, takich jak adresy domowe, pełne daty urodzenia czy służbowe i prywatne adresy e-mail, zwiększa ryzyko spear phishingu, oszustw tożsamościowych, podszywania się pod członków zarządu oraz nadużyć finansowych.

Jeszcze większe znaczenie ma możliwość modyfikacji danych rejestrowych. Zmiana adresu, danych dyrektora lub złożenie nieautoryzowanego dokumentu może zostać wykorzystane do przygotowania oszustwa kredytowego, przejęcia korespondencji, manipulacji statusem formalnym podmiotu albo uwiarygodnienia dalszych działań przestępczych wobec banków, kontrahentów i partnerów biznesowych.

Ryzyko operacyjne obejmuje również brak natychmiastowej wykrywalności. jeżeli system nie posiadał wystarczająco szczegółowych logów audytowych albo mechanizmów detekcji anomalii, organizacje mogły przez dłuższy czas nie wiedzieć, iż ich dane zostały wyświetlone lub zmienione. W przypadku rejestrów publicznych taki problem ma szczególną wagę, ponieważ skutki jednego naruszenia mogą propagować się do wielu innych procesów administracyjnych i finansowych.

Z perspektywy zgodności i prywatności incydent może rodzić konsekwencje regulacyjne, ponieważ dotyczy danych osobowych oraz systemu o znaczeniu publicznym. choćby jeżeli masowe zautomatyzowane pozyskanie danych nie zostało potwierdzone, dostęp do rekordów pojedynczych firm przez cały czas oznacza istotne ryzyko dla osób, których dane były przetwarzane w systemie.

Rekomendacje

Organizacje zarejestrowane w brytyjskim rejestrze spółek powinny niezwłocznie zweryfikować wszystkie dane swojej firmy, historię zgłoszeń oraz ostatnie zmiany widoczne w systemie. Szczególną uwagę należy zwrócić na adresy rejestrowe, dane dyrektorów, adresy e-mail, złożone dokumenty i wszelkie nietypowe aktualizacje.

Wskazane jest także przeprowadzenie przeglądu bezpieczeństwa wokół procesów zależnych od danych rejestrowych. Obejmuje to kontrolę korespondencji przychodzącej, weryfikację zmian w bankach i u kontrahentów, a także wzmożony monitoring prób phishingu i podszywania się pod osoby reprezentujące spółkę.

• przeprowadzić audyt zmian w danych korporacyjnych za okres od października 2025 roku,
• zweryfikować, czy nie doszło do nieautoryzowanych zgłoszeń lub aktualizacji,
• poinformować działy finansowe, prawne i compliance o podwyższonym ryzyku fraudów,
• zwiększyć czujność wobec wiadomości żądających pilnych zmian płatności lub danych kontraktowych,
• stosować zasadę wieloetapowej autoryzacji dla zmian o wysokim wpływie biznesowym,
• utrzymywać niezależne kanały potwierdzania dyspozycji finansowych i zmian administracyjnych.

Dla operatorów systemów publicznych incydent stanowi przypomnienie, iż mechanizmy autoryzacji muszą być projektowane per zasób i per operacja, a nie wyłącznie per sesja użytkownika. Krytyczne znaczenie mają testy logiki biznesowej, testy regresyjne po aktualizacjach, pełny audyt zdarzeń oraz niezależna walidacja operacji wrażliwych.

Podsumowanie

Incydent w Companies House pokazuje, jak pozornie prosty błąd w logice aplikacji może przerodzić się w zagrożenie o dużej skali. Problem nie ograniczał się do ujawnienia danych, ale obejmował także ryzyko naruszenia integralności rekordów firmowych i potencjalnego wsparcia dla oszustw gospodarczych. choćby jeżeli nie potwierdzono aktywnego wykorzystania luki, sam zakres potencjalnego oddziaływania sprawia, iż zdarzenie należy traktować jako poważne ostrzeżenie dla operatorów systemów rejestrowych oraz wszystkich organizacji polegających na zewnętrznych platformach administracyjnych.

Źródła

1. SecurityWeek — https://www.securityweek.com/uk-companies-house-exposed-details-of-millions-of-firms/
2. Update on Companies House WebFiling security issue — https://www.gov.uk/government/news/update-on-companies-house-webfiling-security-issue
3. Companies House flaw exposed five million directors and enabled company hijacking — https://taxpolicy.org.uk/2026/03/13/companies-house-security-vulnerability-directors-addresses/