Платформа Bug bounty HackerOne уведомила сотни сотрудников о том, что их данные были скомпрометированы после взлома злоумышленниками Navia, одного из американских провайдеров, управляющих системами льгот, пишет Bleeping Computer.

HackerOne управляет более чем 1950 программами вознаграждения за обнаружение уязвимостей и предоставляет услуги по обеспечению безопасности кода известным компаниям, например General Motors, Goldman Sachs, Anthropic, GitHub и Uber, а также государственным учреждениям США, таким как Министерство обороны. В то же время Navia — ведущий администратор программ льготного страхования, услугами которого пользуются более 10 тыс. работодателей в США.

Компания HackerOne подала заявление в Генеральную прокуратуру штата Мэн, в котором сообщила, что утечка данных затронула 287 сотрудников.

«На данный момент нам стало известно, что из-за уязвимости в системе авторизации на уровне объектов (Broken Object Level Authorization, BOLA) неизвестный субъект получил доступ к данным Navia в период с 22 декабря 2025 года по 15 января 2026 года, — сообщила компания. — 23 января 2026 года Navia стало известно о подозрительной активности в своей среде. 20 февраля 2026 года Navia разослала письма пострадавшим компаниям».

В руках злоумышленников оказалась такая информация о работниках, как номера социального страхования, полные имена, адреса, номера телефонов, даты рождения, адреса электронной почты, даты регистрации, начала действия и прекращения действия страховых планов.

HackerOne призвала пострадавших сотрудников с осторожностью относиться к подозрительным сообщениям, следить за своими финансовыми счетами и воспользоваться годовым бесплатным сервисом по защите персональных данных и мониторингу кредитной истории от Navia.

«Возможно, вам также стоит подумать о смене паролей или подсказок к паролям/контрольных вопросов, если они связаны с перечисленными выше персональными данными», — добавили в компании.

По информации представителей Navia, утечка не повлияла на финансовые данные и информацию о страховых выплатах. Однако похищенных сведений злоумышленникам достаточно, чтобы проводить фишинговые атаки и попытаться манипулировать людьми.

Пока ни одна киберпреступная группировка или организация не взяла на себя ответственность за этот взлом.