Платформа Bug bounty HackerOne уведомляет сотни сотрудников о краже их данных после того, как злоумышленники взломали Navia, одного из ее американских администраторов льгот.
HackerOne управляет более чем 1950 программами Bug bounty и предоставляет услуги по раскрытию уязвимостей, тестированию на проникновение и обеспечению безопасности кода таким известным компаниям, как General Motors, Goldman Sachs, Anthropic, GitHub и Uber, а также государственным учреждениям США, таким как Министерство обороны.
Navia является ведущим администратором льгот, ориентированным на потребителей, и обслуживает более 10 000 работодателей по всей территории Соединенных Штатов.
В документе, поданном в Офис Генерального прокурора штата Мэн, HackerOne также сообщила, что утечка данных затронула конфиденциальную информацию 287 сотрудников.
“На данный момент нас проинформировали, что уязвимость Broken Object Level Authorization (BOLA) привела к доступу неизвестного лица к данным Navia в период с 22 декабря 2025 года по 15 января 2026 года”, — заявила компания. “23 января 2026 года Navia обнаружила подозрительную активность в своей среде. 20 февраля 2026 года Navia разослала письма затронутым компаниям”.
Раскрытая информация включает комбинацию номеров социального страхования, полных имен, адресов, номеров телефонов, дат рождения, адресов электронной почты, дат зачисления в план, дат вступления в силу и дат прекращения действия для каждого пострадавшего сотрудника и его иждивенцев.
HackerOne также призвала пострадавших сотрудников остерегаться подозрительных сообщений, отслеживать свои финансовые счета на предмет необычной активности и воспользоваться предоставленной Navia 12-месячной бесплатной услугой защиты личности и мониторинга кредитной истории.
“Вы также можете рассмотреть возможность смены паролей или подсказок/секретных вопросов, если они связаны с указанными выше личными данными”, — добавила компания.
Когда Navia раскрыла инцидент ранее в этом месяце, она подчеркнула, что утечка данных не затронула претензии или финансовую информацию пострадавших лиц.
Однако раскрытых данных достаточно для того, чтобы злоумышленники могли проводить фишинговые атаки и атаки социальной инженерии против лиц, пострадавших от инцидента.
Хотя Navia квалифицировала инцидент как кражу данных, ни одна группа киберпреступников или программа-вымогатель не взяла на себя ответственность за взлом.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
