Почти 300 сотрудников HackerOne оказались вовлечены в утечку данных, при этом компания, занимающаяся баг-баунти, резко раскритиковала стороннего поставщика льгот за многонедельные задержки с уведомлением.
В документе, поданном генеральному прокурору штата Мэн, HackerOne заявила, что утечка произошла не из-за её собственных систем, а из-за Navia Benefit Solutions — американского администратора, обрабатывающего данные о льготах сотрудников.
Согласно уведомлению, отправленному пострадавшим сотрудникам, неизвестный киберпреступник использовал уязвимость Broken Object Level Authorization (BOLA) в среде Navia, что позволило получить несанкционированный доступ к конфиденциальным данным в период с 22 декабря 2025 года по 15 января 2026 года.
В уведомлении говорится, что Navia обнаружила «подозрительную активность» 23 января и начала расследование. HackerOne утверждает, что не получила официального уведомления до марта, после того как письма от 20 февраля были отправлены, но задержались в пути. HackerOne ясно дала понять, что не удовлетворена этим графиком, отметив, что всё ещё ожидает «убедительного объяснения задержки уведомления».
Этот инцидент гораздо шире, чем затрагивает только HackerOne. На прошлой неделе Navia сообщила, что взлом её систем, произошедший несколько месяцев назад, затронул более 2,6 миллиона человек. Navia не предоставила никаких дополнительных подробностей о вторжении, а её веб-сайт на момент написания статьи был недоступен, хотя неясно, связаны ли эти два факта.
Раскрытые данные представляют собой настоящий «сборник хитов» для кражи личных данных. У сотрудников HackerOne могли быть скомпрометированы номера социального страхования, полные имена, адреса, номера телефонов, даты рождения и адреса электронной почты, а также сведения об участии в медицинском страховании и данные о иждивенцах.
Хотя Navia утверждает, что на данный момент нет доказательств неправомерного использования данных, HackerOne исходит из предположения, что эти данные всё же могут быть использованы злоумышленниками. Сотрудников предупредили о необходимости следить за мошенничеством, фишинговыми атаками и необычной финансовой активностью, а также рассмотреть возможность блокировки своего кредитного отчёта.
Компания также дала понять, что может пересмотреть свои отношения с поставщиками. Она заявила, что проводит проверку практик безопасности и конфиденциальности Navia и рассмотрит «другие потенциальные варианты поставщиков льгот», если текущие не будут соответствовать требованиям.
Это повторяющийся сценарий: уязвимость в системе поставщика, задержка между обнаружением и раскрытием информации, и пострадавшие, оставшиеся в замешательстве. Разница в том, что на этот раз жертвой стала HackerOne — фирма, чья работа заключается именно в выявлении подобных проблем. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
