文章总结： 漏洞赏金平台HackerOne因第三方福利管理商Navia存在BOLA漏洞导致287名员工个人数据遭窃取，泄露信息包括社会安全号码、姓名、地址等敏感数据，HackerOne建议受影响员工监控财务账户并使用免费身份保护服务。 综合评分： 76 文章分类： 数据泄露,漏洞分析,供应链安全

【安全圈】HackerOne 披露员工数据泄露事件：第三方服务商 Navia 遭入侵

安全圈

2026年3月25日 19:02 江苏

关键词

黑客

漏洞赏金平台HackerOne正在通知数百名员工，其个人数据在第三方美国福利管理商Navia遭黑客入侵后被窃取。

HackerOne管理着超过1950个漏洞赏金项目，为通用汽车、高盛、Anthropic、GitHub、Uber等知名企业，以及美国国防部等政府机构提供漏洞披露、渗透测试和代码安全服务。

Navia是美国领先的消费者导向福利管理商，服务超过1万家雇主。

在向缅因州总检察长办公室提交的申报文件中，HackerOne披露此次数据泄露影响了287名员工。

“据我们目前掌握的信息，由于存在对象级授权失效（BOLA）漏洞，未知行为体于2025年12月22日至2026年1月15日期间访问了Navia数据，”该公司表示。”2026年1月23日，Navia发现其环境中存在可疑活动。Navia于2月20日向受影响公司发送了通知函。”

泄露信息包括：社会安全号码、姓名、地址、电话、出生日期、邮箱地址、参保日期、生效日期及终止日期——涵盖每位受影响员工及其家属。

HackerOne建议受影响员工警惕可疑信息，监控财务账户异常活动，并使用Navia提供的12个月免费身份保护和信用监控服务。”如果密码或密码提示/安全问题涉及上述个人数据，建议一并更改，”公司补充道。

Navia本月早些时候披露事件时强调，数据泄露未影响受影响个人的理赔或财务信息。

然而，泄露的数据足以让威胁行为体对事件受害者发起钓鱼和社交工程攻击。

尽管Navia将此事件标记为数据窃取攻击，但目前尚无网络犯罪团伙或勒索软件组织宣称对此次入侵负责。

END

阅读推荐

【安全圈】马自达通报安全事件：员工和合作伙伴数据遭泄露

【安全圈】朝鲜黑客滥用 VS Code 自动运行任务部署 StoatWaffle 恶意软件

【安全圈】微软警告：IRS 钓鱼邮件波及 2.9 万用户，远程管理工具成攻击新载体

【安全圈】为博眼球使用 AI 造谣“烟花厂爆炸致 2 死 2 伤”，男子被依法处罚

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】HackerOne 披露员工数据泄露事件：第三方服务商 Navia 遭入侵》