Celah Keamanan Companies House Inggris Ekspos Data Jutaan Perusahaan
Companies House, lembaga pemerintah Inggris yang mengelola registrasi perusahaan di Inggris dan Wales, mengonfirmasi adanya celah keamanan serius yang sempat mengekspos data jutaan perusahaan. Layanan WebFiling milik lembaga tersebut kini telah kembali beroperasi setelah sebelumnya ditutup sementara untuk perbaikan.
Celah ini diketahui telah berlangsung sejak Oktober 2025, bertepatan dengan pembaruan sistem yang dilakukan pada platform WebFiling.
Kerentanan Terungkap oleh Peneliti Independen
Masalah ini pertama kali diungkap oleh Dan Neidle, pendiri organisasi nirlaba Tax Policy Associates, setelah menerima laporan dari peneliti keamanan John Hewitt. Hewitt sebelumnya telah mencoba melaporkan temuan tersebut, namun tidak mendapat respons.
Celah tersebut tergolong sederhana namun berbahaya. Pengguna yang telah login ke akun Companies House cukup mengakses dashboard perusahaan miliknya, kemudian memilih opsi untuk mengajukan dokumen bagi perusahaan lain.
Setelah memasukkan nomor perusahaan target, sistem akan meminta kode autentikasi. Namun, dengan memanfaatkan navigasi tombol “back” pada browser, pengguna justru dapat kembali ke dashboard—yang ternyata telah berubah menjadi milik perusahaan lain.
Data Sensitif Berpotensi Terbuka
Kerentanan ini memungkinkan akses tidak sah terhadap data perusahaan satu per satu. Dalam periode sekitar lima bulan, data hingga lima juta perusahaan berpotensi terekspos.
Informasi yang dapat diakses mencakup data sensitif yang tidak seharusnya dipublikasikan, seperti tanggal lahir, alamat tempat tinggal manajemen, serta alamat email perusahaan.
Selain itu, celah ini juga berpotensi memungkinkan pengguna melakukan perubahan tertentu pada data perusahaan lain tanpa izin, termasuk pengajuan dokumen seperti laporan keuangan atau perubahan direktur.
Batasan Dampak dan Klarifikasi Resmi
Meski demikian, Companies House menegaskan bahwa eksploitasi hanya dapat dilakukan oleh pengguna yang telah login. Selain itu, akses terhadap data dilakukan secara terbatas, yaitu satu entri perusahaan dalam satu waktu.
Lembaga tersebut juga memastikan bahwa kata sandi pengguna tidak terdampak, dan data verifikasi identitas seperti informasi paspor tetap aman. Dokumen resmi yang sudah diajukan sebelumnya juga tidak dapat diubah melalui celah ini.
Investigasi Masih Berlangsung
Setelah menemukan masalah tersebut, Companies House segera melaporkannya kepada Information Commissioner’s Office (ICO) dan National Cyber Security Centre (NCSC) Inggris.
Hingga saat ini, belum ada bukti bahwa data benar-benar telah disalahgunakan atau diubah tanpa izin. Namun, investigasi masih terus berlangsung untuk memastikan dampak sebenarnya dari insiden ini.
Pihak Companies House juga menegaskan komitmennya untuk tetap transparan dan akan memberikan pembaruan lebih lanjut seiring perkembangan investigasi.
