HackerOne数据泄露——Navia遭黑客攻击后员工数据失窃

HackerOne近日披露了一起数据泄露事件，在其美国福利管理机构Navia Benefit Solutions遭受网络攻击后，该公司287名员工的数据受到影响。

此次泄露源于Navia API中的一个失效的对象级授权漏洞，该漏洞导致全美约270万人的敏感个人与健康信息暴露。

一名身份不明的威胁行为者利用了Navia Benefit Solutions所属API端点中的一个失效的对象级授权漏洞。

该漏洞使攻击者获得了对内部系统的未授权只读访问权限，但并未篡改数据或部署勒索软件，这使得入侵行为在数周内未被发现。

HackerOne员工数据遭泄露
未授权访问发生在2025年12月22日至2026年1月15日期间。Navia于2026年1月23日正式检测到可疑活动，随后联合联邦执法部门启动了内部取证调查。

尽管在1月底就发现了泄露事件，但HackerOne报告称收到披露信息存在严重延迟。据称Navia发送了日期为2026年2月20日的通知函，但HackerOne直到3月才收到正式通知。

在核实事件后，HackerOne于2026年3月13日与Navia会面，评估受影响数据的范围。该漏洞赏金平台公开批评了这一延迟，并要求福利管理机构给出合理解释。

因此，HackerOne已启动内部调查以评估Navia的隐私与安全实践，并警告称，如果这些标准未能达到，可能会考虑更换福利提供商。

虽然财务和理赔细节未被窃取，但暴露的数据集已足以为复杂的社会工程学攻击、身份盗窃和网络钓鱼活动提供素材。

此次泄露事件影响了287名HackerOne员工的数据，使Navia旗下10,000家企业客户中总计270万受害者的一部分。

HackerOne目前假设被泄露的信息仍可能被威胁行为者滥用。建议员工对可能利用被盗数据冒充雇主或政府机构的定向钓鱼攻击保持高度警惕。

受影响个人被敦促监控其财务账户是否有异常活动，更新相关密码和安全问题，并利用免费的身份保护服务。