Η Navia αποκαλύπτει παραβίαση δεδομένων που επηρεάζει 2,7 εκατομμύρια ανθρώπους

Η Navia Benefit Solutions, Inc. (Navia) ενημερώνει σχεδόν 2,7 εκατομμύρια άτομα για μια παραβίαση δεδομένων που εξέθετε τις ευαίσθητες πληροφορίες τους σε επιτιθέμενους.

Μια έρευνα για το περιστατικό αποκάλυψε ότι οι χάκερ είχαν πρόσβαση στα συστήματα του οργανισμού μεταξύ 22 Δεκεμβρίου 2025 και 15 Ιανουαρίου 2026. Ωστόσο, η εταιρεία ανακάλυψε την ύποπτη δραστηριότητα στις 23 Ιανουαρίου.

Η Navia λέει ότι απάντησε αμέσως και ξεκίνησε έρευνα για να καθορίσει τις πιθανές επιπτώσεις του συμβάντος.

«Η έρευνα διαπίστωσε ότι ένας μη εξουσιοδοτημένος παράγοντας είχε πρόσβαση και απέκτησε ορισμένες πληροφορίες μεταξύ 22 Δεκεμβρίου 2025 και 15 Ιανουαρίου 2026», αναφέρει η εταιρεία στην κοινοποίηση σε επηρεαζόμενα άτομα.

Η Navia είναι ένας διαχειριστής παροχών με επίκεντρο τον καταναλωτή που παρέχει υπηρεσίες σε περισσότερους από 10.000 εργοδότες στις ΗΠΑ

Η εταιρεία παρέχει λογισμικό και υπηρεσίες πελατών για τη διαχείριση Λογαριασμών Ευέλικτων Δαπανών (FSA), Λογαριασμών Ταμιευτηρίου Υγείας (HSA), Διακανονισμών Αποζημίωσης Υγείας (HRA), Παροχών Μετακίνησης και Υπηρεσιών COBRA.

Βοηθά επίσης στο χειρισμό των παροχών των μετακινήσεων, των λογαριασμών τρόπου ζωής, των οφελών εκπαίδευσης, των υπηρεσιών συμμόρφωσης/κινδύνου και των προσφορών που σχετίζονται με τη συνταξιοδότηση.

Σύμφωνα με την εταιρεία, η έρευνα για την παραβίαση αποκάλυψε ότι ο χάκερ είχε πρόσβαση και ενδέχεται να είχε διεκδικήσει τα ακόλουθα είδη δεδομένων:

• Ονοματεπώνυμο
• Ημερομηνία γεννήσεως
• Αριθμός Κοινωνικής Ασφάλισης (SSN)
• Αριθμός τηλεφώνου
• Διεύθυνση ηλεκτρονικού ταχυδρομείου
• Συμμετοχή σε HRA (Health Reimbursement Arrangements)
• Πληροφορίες FSA (Flexible Spending Accounts).
• Πληροφορίες εγγραφής Ενοποιημένος Νόμος Συνδιαλλαγής Προϋπολογισμού (COBRA).

Η Navia υπογραμμίζει ότι η παραβίαση δεδομένων δεν αποκάλυψε λεπτομέρειες σχετικά με αξιώσεις ή οικονομικές πληροφορίες. Ωστόσο, τα εκτεθειμένα δεδομένα είναι αρκετά για τους παράγοντες απειλών να αναπτύξουν επιθέσεις phishing και κοινωνικής μηχανικής που στοχεύουν σε επηρεαζόμενα άτομα.

Η εταιρεία δηλώνει ότι έχει αναθεωρήσει τις πολιτικές της για τη στάση ασφαλείας και τη διατήρηση δεδομένων για να εντοπίσει πιθανές αδυναμίες που μπορούν να βελτιωθούν και έχει ενημερώσει τις ομοσπονδιακές αρχές επιβολής του νόμου για το περιστατικό.

Οι πελάτες των οποίων οι πληροφορίες αποκαλύφθηκαν θα καλύπτονται από μια δωρεάν υπηρεσία προστασίας ταυτότητας και παρακολούθησης πιστώσεων διάρκειας 12 μηνών από την Kroll. Οι παραλήπτες επιστολών ενθαρρύνονται επίσης να εξετάσουν το ενδεχόμενο να τοποθετήσουν ειδοποίηση απάτης και πάγωμα ασφαλείας στα πιστωτικά τους αρχεία.

Μέχρι τη στιγμή που γράφονται αυτές οι γραμμές, καμία ομάδα ransomware δεν έχει ισχυριστεί την παραβίαση δεδομένων Navia.