HackerOne getroffen door datalek via externe partner

In dit artikel:

HackerOne bevestigt dat persoonsgegevens van 287 medewerkers zijn gelekt na een inbraak bij Navia, een Amerikaanse externe dienstverlener voor werknemersvoordelen waar HackerOne klant van is. De aanvallers hadden volgens een melding bij een Amerikaanse toezichthouder toegang tot Navia-systemen tussen 22 december 2025 en 15 januari 2026; de inbraak werd op 23 januari ontdekt en getroffen personen zijn medio maart geïnformeerd. Omdat ten minste één getroffen medewerker in de staat Maine woont, is daar de officiële melding ingediend.

De gelekte gegevens bevatten zowel identificerende als gevoelige informatie: namen, adressen, telefoonnummers, e‑mailadressen, geboortedata en in sommige gevallen Amerikaanse burgerservicenummers (SSN). Ook waren administratieve gegevens over deelname aan regelingen en inschrijf-/uitschrijfdata zichtbaar; soms betroffen de gegevens ook gezinsleden. Volgens Navia ontstond de blootstelling door misbruik van een zwakke toegangscontrole; de dader(s) zijn onbekend en hebben zich niet bekendgemaakt.

Hoewel er geen aanwijzingen zijn dat financiële rekeningen of claimsystemen zijn aangetast, vergroot de samenstelling van de data het risico op gerichte phishing en social engineering. HackerOne raadt medewerkers aan verdachte communicatie te melden, accounts en financiële overzichten te monitoren en wachtwoorden of beveiligingsvragen aan te passen. Navia biedt getroffen personen tot twee jaar identiteitsbescherming en kredietmonitoring via Kroll. Het incident benadrukt de risico’s van afhankelijkheid van externe leveranciers voor gevoelige data.