Основы Интернет - технологий.

Bug bounty платформа HackerOne уведомила сотни сотрудников о том, что их персональные данные были скомпрометированы. Причиной стал взлом компании Navia — американского провайдера, который управляет корпоративными программами льгот и компенсаций. HackerOne управляет более чем 1950 программами bug bounty и предоставляет услуги по раскрытию уязвимостей, пентестам и аудиту безопасности кода таким компаниям, как General Motors, Goldman Sachs, Anthropic, GitHub и Uber, а также государственным структурам, включая Министерство обороны США. В свою очередь, Navia — это крупный администратор корпоративных льгот, обслуживающий более 10 000 работодателей в США. В уведомлении, направленном в Генеральную прокуратуру штата Мэн, представители HackerOne сообщили, что утечка данных затронула 287 сотрудников. «На данный момент нам известно, что уязвимость типа Broken Object Level Authorization (BOLA) позволила неизвестному злоумышленнику получить доступ к данным Navia в период с 22 декабря 2025 года по 15 января 2026 года», — пояснили в компании. Подозрительную активность в своих системах Navia обнаружила 23 января 2026 года, а 20 февраля разослала уведомления пострадавшим клиентам. В результате взлома в руки атакующих попали номера социального страхования, полные имена, адреса, номера телефонов, даты рождения, адреса электронной почты, а также даты регистрации, начала действия и прекращения действия страховых планов (причем как для самих сотрудников, так и для их иждивенцев). В HackerOne рекомендовали всем пострадавшим с осторожностью относиться к подозрительным сообщениям, следить за необычной финансовой активностью и воспользоваться бесплатным 12-месячным сервисом защиты личных данных и мониторинга кредитной истории, который предоставляет пострадавшим Navia. Кроме того, в компании посоветовали сменить пароли и контрольные вопросы, если те могут быть связаны со скомпрометированной информацией. Представители Navia, со своей стороны, подчеркивают, что инцидент не затронул финансовые данные и информацию о страховых выплатах пострадавших. Однако похищенных данных более чем достаточно для проведения фишинговых атак, а также атак с применением социальной инженерии. В настоящее время ни одна хакерская группа или оператор шифровальщиков не взяли на себя ответственность за этот инцидент.