Nieuws Vandaag

Megalek bij Brits handelsregister, miljoenen bedrijven kwetsbaar voor valse deponeringen

Gedurende vijf maanden zijn alle in het Britse handelsregister geregistreerde vennootschappen kwetsbaar geweest voor manipulatie van hun bedrijfsgegevens. Het datalek werd op 13 maart jl. onthuld door LinkedIn-influencer, journalist en fiscalist Dan Neidle.

Wilbert Geijtenbeek

Het Britse Companies House, dat alle vennootschappelijke registraties in het Verenigd Koninkrijk registreert, blijkt geïnfiltreerd door hackers. Door de fout zijn indringers in staat geweest persoonsgegevens van bestuurders van ondernemingen in te zien en valse documentatie te uploaden.

Datalek bestuurdersgegevens

Companies House werd op de hoogte gebracht van het probleem door Dan Neidle, oprichter van non-profitorganisatie Tax Policy Associates. Op zijn LinkedIn-profiel liet hij in een video zien hoe het lek werkte. Door een bug kregen gebruikers toegang tot de gevoelige gegevens, door simpelweg op de terug-knop van een webbrowser te drukken. Toen het lek bekend werd, heeft Companies House zijn online portaal afgesloten.

Onder de persoonsgegevens van bestuurders bevinden zich adressen, e-mailadressen en de volledige geboortedata. Deze gegevens, die niet openbaar toegankelijk zijn, werden per ongeluk publiek door een storing, zo bevestigde Companies House tegenover de Financial Times.

Alle gegevens kwetsbaar voor manipulatie

Bij het Companies House zijn ​​meer dan vijf miljoen bedrijven geregistreerd. In een verklaring bevestigt het handelsregister dat al deze geregistreerde ondernemingen gedurende de afgelopen vijf maanden kwetsbaar zijn geweest voor manipulatie van hun deponeringen. Volgens ceo Andy King is uit onderzoek gebleken dat "dit probleem is ontstaan ​​toen we onze WebFiling-systemen in oktober hebben bijgewerkt". Bestuurders hebben het advies gekregen hun huidige gegevens te verifiëren.

In zijn verklaring bood King als directeur van Companies House zijn excuses aan voor de inbreuk op het WebFiling-systeem van het handelsregister. Hij gaf toe dat "geboortedata, woonadressen en e-mailadressen van bedrijven" mogelijk zichtbaar zijn geweest. "Het is ook mogelijk geweest dat ongeautoriseerde gegevens -zoals jaarrekeningen of wijzigingen in het bestuur - op het dossier van een ander bedrijf zijn ingediend", erkende hij.

Bevoegdheid

In 2024 kreeg Companies House meer bevoegdheden om op grond van de Britse Economic Crime and Corporate Transparency Act financiële sancties aan misbruikers op te leggen. Daarbij kan het handelsregister samenwerken met overheidshandhavers, om ernstig misbruik aan te pakken.

De wetgeving volgde na jarenlange klachten over het gemak waarmee fraudeurs wereldwijd Britse nepvennootschappen konden oprichten bij het Companies House. In het VK is het verkrijgen van ongeoorloofde toegang tot gegevens een strafbaar feit. Volgens de Computer Misuse Act is dat strafbaar met een gevangenisstraf van maximaal twee jaar - of zelfs maximaal vijf jaar als de toegang wordt verkregen om een ​​ander strafbaar feit te plegen.