Nel corso di un intervento tecnico il registro britannico delle imprese ha messo offline la piattaforma WebFiling per rispondere a un problema di sicurezza che poteva consentire a utenti autenticati di raggiungere informazioni riservate di altre società. La sospensione è avvenuta a seguito di una segnalazione pubblica e del conseguente approfondimento tecnico; l’evento è stato reso noto nella comunicazione ufficiale datata 16 Mar 2026 e l’accesso è stato temporaneamente interrotto a partire da 13 March per consentire la correzione.
Le indagini interne hanno collegato il comportamento anomalo a una modifica apportata al sistema in October 2026. Secondo quanto dichiarato dall’ente, il problema non era accessibile al pubblico generale ma poteva essere sfruttato da chi disponeva di credenziali di accesso valide su WebFiling.
Sono emerse preoccupazioni su informazioni sensibili come date di nascita, indirizzi residenziali e indirizzi aziendali, mentre dati di verifica dell’identità come passaporti e password non risultano compromessi.
Scoperta e meccanica della vulnerabilità
La falla è stata portata all’attenzione del registro da esperti esterni: la segnalazione è partita da Dan Neidle di Tax Policy Associates dopo che John Hewitt di Ghost Mail ne aveva mostrato il funzionamento. Il difetto è stato descritto come «estremamente semplice» nella dinamica di sfruttamento: premendo l’opzione per “file for another company” e non potendo completare l’autenticazione a due fattori, alcune azioni del browser come andare indietro riportavano l’utente non alla propria dashboard ma al pannello privato dell’altra società. Questa anomalia di navigazione ha di fatto aggirato i controlli previsti dal flusso di autenticazione.
Come veniva sfruttata la falla
Nel dettaglio, un utente autenticato iniziava il processo per operare su un’altra impresa inserendo il numero societario: il sistema chiedeva un codice di autenticazione che non poteva essere superato senza il relativo token. Tuttavia, utilizzando semplici controlli del browser, era possibile terminare il percorso in un contesto diverso da quello legittimo. Questo meccanismo permetteva di visualizzare, e in casi limitati anche modificare, singoli record aziendali. È importante sottolineare che l’accesso risultava circoscritto a schede individuali e non permetteva estrazioni massicce di dati in automatizzato.
Dati esposti e rischi concreti
I campi identificati come potenzialmente visibili comprendevano date di nascita, indirizzi personali, e indirizzi email aziendali. La possibilità teorica di effettuare filings non autorizzati — come variazioni di cariche sociali o invio di bilanci — solleva serie questioni legali e operative per le imprese interessate.
Esperti di sicurezza segnalano che reperire informazioni di contatto e anagrafiche può facilitare spear phishing, furti d’identità mirati e altre tipologie di frode che sfruttano dati contestuali per aumentare la credibilità degli attacchi.
Probabile portata e natura dell’abuso
Ad oggi non ci sono conferme pubbliche di un uso malevolo su larga scala, ma il fatto che la vulnerabilità fosse presente dopo l’aggiornamento di October 2026 mantiene aperta la possibilità che attori sofisticati l’abbiano sfruttata in modo selettivo e mirato. Le indagini proseguono con il coinvolgimento del ICO e del NCSC per valutare eventuali accessi non autorizzati e definire misure di mitigazione e sanzioni se necessario.
Risposta operativa e lezioni da trarre
Companies House ha riattivato il servizio una volta implementate le correzioni tecniche e ha invitato tutte le aziende a verificare le proprie registrazioni e la cronologia delle operazioni.
Il CEO Andy King ha espresso rammarico per il disagio e ha promesso supporto a chi riterrà di aver subito modifiche non autorizzate, sollecitando la presentazione di reclami corredati da evidenze. Sul piano organizzativo l’episodio evidenzia la necessità di procedure di audit e testing più stringenti per servizi obbligatori e ad alta affidabilità.
Per le imprese il messaggio è chiaro: controllare le proprie schede pubbliche, aggiornare le procedure interne di monitoraggio e considerare la verifica periodica delle notifiche e dei permessi. Sul versante istituzionale, è essenziale rafforzare i processi di logging e rilevamento per identificare anomalie prima che diventino incidenti. Se dalla revisione dovesse emergere che la falla è stata sfruttata per accedere o alterare dati, Companies House ha dichiarato che intraprenderà azioni decise contro i responsabili.
