Η πλατφόρμα επιβράβευσης σφαλμάτων HackerOne ειδοποιεί εκατοντάδες υπαλλήλους ότι τα δεδομένα τους κλάπηκαν αφού εισβολείς εισέβαλαν στη Navia, έναν από τους διαχειριστές παροχών της στις ΗΠΑ.
Το HackerOne διαχειρίζεται περισσότερα από 1.950 προγράμματα επιβράβευσης σφαλμάτων και παρέχει υπηρεσίες αποκάλυψης ευπάθειας, δοκιμών διείσδυσης και ασφάλειας κώδικα σε εταιρείες υψηλού προφίλ όπως η General Motors, η Goldman Sachs, η Anthropic, το GitHub και η Uber, καθώς και σε κυβερνητικές υπηρεσίες των ΗΠΑ όπως το Υπουργείο Άμυνας.
Η Navia είναι ένας κορυφαίος διαχειριστής παροχών με επίκεντρο τους καταναλωτές και εξυπηρετεί περισσότερους από 10.000 εργοδότες σε όλες τις Ηνωμένες Πολιτείες.
Σε ένα αρχειοθέτηση με το Γραφείο του Γενικού Εισαγγελέα του Μέιν, η HackerOne αποκάλυψε επίσης ότι η παραβίαση δεδομένων αποκάλυψε τις ευαίσθητες πληροφορίες 287 εργαζομένων.
“Αυτή τη στιγμή, ενημερωθήκαμε ότι μια ευπάθεια Broken Object Level Authorization (BOLA) οδήγησε σε έναν άγνωστο παράγοντα πρόσβαση στα δεδομένα Navia μεταξύ 22 Δεκεμβρίου 2025 και 15 Ιανουαρίου 2026”, η εταιρεία είπε. “Στις 23 Ιανουαρίου 2026, η Navia ενημερώθηκε για ύποπτη δραστηριότητα στο περιβάλλον της. Η Navia έστειλε επιστολές με ημερομηνία 20 Φεβρουαρίου 2026 σε εταιρείες που επηρεάστηκαν.”
Οι εκτιθέμενες πληροφορίες περιλαμβάνουν έναν συνδυασμό αριθμών Κοινωνικής Ασφάλισης, πλήρη ονόματα, διευθύνσεις, αριθμούς τηλεφώνου, ημερομηνίες γέννησης, διευθύνσεις ηλεκτρονικού ταχυδρομείου, ημερομηνίες εγγραφής στο πρόγραμμα, ημερομηνίες έναρξης ισχύος και ημερομηνίες τερματισμού για κάθε εργαζόμενο που επηρεάζεται και τα εξαρτώμενα μέλη του.
Το HackerOne ενθάρρυνε επίσης τους επηρεαζόμενους υπαλλήλους να είναι προσεκτικοί με ύποπτα μηνύματα, να παρακολουθούν τους οικονομικούς λογαριασμούς τους για ασυνήθιστη δραστηριότητα και να επωφελούνται από τη δωρεάν υπηρεσία προστασίας ταυτότητας και παρακολούθησης πιστώσεων διάρκειας 12 μηνών που παρέχεται από τη Navia.
“Μπορεί επίσης να θέλετε να εξετάσετε το ενδεχόμενο αλλαγής κωδικών πρόσβασης ή υποδείξεων κωδικών πρόσβασης/ερωτήσεις ασφαλείας εάν αφορούν τα προσωπικά δεδομένα που αναφέρονται παραπάνω”, πρόσθεσε η εταιρεία.
Όταν αποκάλυψε το περιστατικό νωρίτερα αυτόν τον μήνα, η Navia υπογράμμισε ότι η παραβίαση δεδομένων δεν επηρέασε τις αξιώσεις των ατόμων ή τις οικονομικές πληροφορίες.
Ωστόσο, τα εκτεθειμένα δεδομένα είναι επαρκή για τους παράγοντες απειλών να εξαπολύσουν επιθέσεις ηλεκτρονικού ψαρέματος και κοινωνικής μηχανικής εναντίον ατόμων που επηρεάζονται από το περιστατικό.
Αν και η Navia επισήμανε το περιστατικό ως επίθεση κλοπής δεδομένων, καμία ομάδα εγκλήματος στον κυβερνοχώρο ή επιχείρηση ransomware δεν έχει αναλάβει την ευθύνη για την παραβίαση.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
