Bug bounty платформа HackerOne уведомила сотни сотрудников о том, что их персональные данные были скомпрометированы. Причиной стал взлом компании Navia — американского провайдера, который управляет корпоративными программами льгот и компенсаций.

HackerOne управляет более чем 1950 программами bug bounty и предоставляет услуги по раскрытию уязвимостей, пентестам и аудиту безопасности кода таким компаниям, как General Motors, Goldman Sachs, Anthropic, GitHub и Uber, а также государственным структурам, включая Министерство обороны США. В свою очередь, Navia — это крупный администратор корпоративных льгот, обслуживающий более 10 000 работодателей в США.

В уведомлении, направленном в Генеральную прокуратуру штата Мэн, представители HackerOne сообщили, что утечка данных затронула 287 сотрудников.

В результате взлома в руки атакующих попали номера социального страхования, полные имена, адреса, номера телефонов, даты рождения, адреса электронной почты, а также даты регистрации, начала действия и прекращения действия страховых планов (причем как для самих сотрудников, так и для их иждивенцев).

В HackerOne рекомендовали всем пострадавшим с осторожностью относиться к подозрительным сообщениям, следить за необычной финансовой активностью и воспользоваться бесплатным 12-месячным сервисом защиты личных данных и мониторинга кредитной истории, который предоставляет пострадавшим Navia. Кроме того, в компании посоветовали сменить пароли и контрольные вопросы, если те могут быть связаны со скомпрометированной информацией.

Представители Navia, со своей стороны, подчеркивают, что инцидент не затронул финансовые данные и информацию о страховых выплатах пострадавших. Однако похищенных данных более чем достаточно для проведения фишинговых атак, а также атак с применением социальной инженерии.

В настоящее время ни одна хакерская группа или оператор шифровальщиков не взяли на себя ответственность за этот инцидент.