Η HackerOne αποκάλυψε πρόσφατα μια παραβίαση δεδομένων που επηρεάζει 287 υπαλλήλους της μετά από μια κυβερνοεπίθεση στον διαχειριστή παροχών της στις ΗΠΑ, Navia Benefit Solutions.
Η παραβίαση προήλθε από μια ευπάθεια Broken Object Level Authorization (BOLA) στο API της Navia, η οποία εξέθεσε ευαίσθητες προσωπικές πληροφορίες και πληροφορίες υγείας περίπου 2,7 εκατομμυρίων ατόμων σε εθνικό επίπεδο.
Ένας άγνωστος παράγοντας απειλής εκμεταλλεύτηκε ένα ελάττωμα εξουσιοδότησης επιπέδου σπασμένου αντικειμένου (BOLA) σε ένα τελικό σημείο διεπαφής προγραμματισμού εφαρμογής (API) που ανήκει στην Navia Benefit Solutions.
Αυτή η ευπάθεια παρείχε στον εισβολέα μη εξουσιοδοτημένη πρόσβαση μόνο για ανάγνωση σε εσωτερικά συστήματα χωρίς τροποποίηση δεδομένων ή ανάπτυξη ransomware, γεγονός που επέτρεψε στην εισβολή να παραμείνει απαρατήρητη για αρκετές εβδομάδες.
Διακυβευμένα δεδομένα εργαζομένων HackerOne
Η μη εξουσιοδοτημένη πρόσβαση έλαβε χώρα μεταξύ 22 Δεκεμβρίου 2025 και 15 Ιανουαρίου 2026. Η Navia εντόπισε επίσημα την ύποπτη δραστηριότητα στις 23 Ιανουαρίου 2026 και στη συνέχεια ξεκίνησε μια εσωτερική ιατροδικαστική έρευνα μαζί με τις ομοσπονδιακές αρχές επιβολής του νόμου.
Παρά την ανακάλυψη της παραβίασης στα τέλη Ιανουαρίου, το HackerOne ανέφερε σημαντική καθυστέρηση στη λήψη της αποκάλυψης. Η Navia φέρεται να έστειλε επιστολές ειδοποίησης με ημερομηνία 20 Φεβρουαρίου 2026, αλλά το HackerOne δεν έλαβε επίσημη ειδοποίηση μέχρι τον Μάρτιο.
Μετά την επαλήθευση του συμβάντος, η HackerOne συναντήθηκε με τη Navia στις 13 Μαρτίου 2026, για να αξιολογήσει το εύρος των παραβιασμένων δεδομένων. Η πλατφόρμα bounty bug έχει επικρίνει ανοιχτά το καθυστερημένο χρονοδιάγραμμα και απαιτεί μια ικανοποιητική εξήγηση από τον διαχειριστή των παροχών.
Κατά συνέπεια, η HackerOne ξεκίνησε τη δική της εσωτερική έρευνα για να αξιολογήσει τις πρακτικές απορρήτου και ασφάλειας της Navia, προειδοποιώντας ότι ενδέχεται να διερευνήσει εναλλακτικούς παρόχους παροχών εάν δεν πληρούνται αυτά τα πρότυπα.
Παρόλο που δεν διερευνήθηκαν τα οικονομικά στοιχεία και οι λεπτομέρειες των αξιώσεων, το εκτεθειμένο σύνολο δεδομένων παρέχει επαρκές υλικό για εξελιγμένες καμπάνιες κοινωνικής μηχανικής, κλοπής ταυτότητας και phishing.
Η παραβίαση έθεσε σε κίνδυνο τα δεδομένα 287 εργαζομένων της HackerOne, συμβάλλοντας στα 2,7 εκατομμύρια συνολικά θύματα στους 10.000 εταιρικούς πελάτες της Navia.
Το HackerOne προχωρά με την υπόθεση ότι οι παραβιασμένες πληροφορίες θα μπορούσαν να εξακολουθήσουν να γίνονται αντικείμενο κατάχρησης από παράγοντες απειλών. Συνιστάται στους εργαζόμενους να παραμείνουν σε μεγάλη επαγρύπνηση έναντι στοχευμένων απόπειρων phishing που ενδέχεται να αξιοποιήσουν τα κλεμμένα δεδομένα για να πλαστογραφήσουν τους εργοδότες ή τις κρατικές υπηρεσίες.
Τα επηρεαζόμενα άτομα καλούνται να παρακολουθούν τους οικονομικούς λογαριασμούς τους για ασυνήθιστες δραστηριότητες, να ενημερώνουν τους σχετικούς κωδικούς πρόσβασης και τις ερωτήσεις ασφαλείας και να επωφελούνται από τις δωρεάν υπηρεσίες προστασίας ταυτότητας.
