【安全资讯】HackerOne披露因Navia遭黑客攻击导致的员工数据泄露事件

概要：

知名漏洞赏金平台HackerOne近日披露了一起员工数据泄露事件，起因是其美国福利管理服务商Navia遭遇黑客攻击。此次事件暴露了近300名员工的敏感个人信息，凸显了供应链安全风险对网络安全核心企业的威胁。作为为美国国防部等政府机构及众多知名企业提供安全服务的平台，其自身遭遇第三方数据泄露，具有深刻的警示意义。

主要内容：

HackerOne在向缅因州总检察长办公室提交的文件中确认，此次泄露涉及287名员工及其家属的敏感信息，包括社会安全号码、全名、地址、电话号码、出生日期、电子邮件地址以及计划注册和终止日期等。泄露源头是其福利管理服务商Navia系统中的一个“对象级别授权破坏”（BOLA）漏洞。攻击者利用该漏洞，在2025年12月22日至2026年1月15日期间非法访问了数据。

Navia于2026年1月23日发现环境中的可疑活动，并于2月20日向受影响公司发出通知。BOLA漏洞是一种访问控制缺陷，允许攻击者通过操纵对象标识符（如ID、密钥）来访问本应无权访问的数据对象。此次攻击成功，核心在于第三方服务商Navia的授权机制存在缺陷，未能对用户请求的数据对象进行有效的权限验证。

尽管Navia强调此次事件未影响个人的理赔或财务信息，但泄露的数据组合足以让威胁行为者针对受影响人员发起精准的网络钓鱼和社会工程学攻击。HackerOne已建议受影响员工警惕可疑信息，监控账户活动，并利用Navia提供的12个月免费身份保护和信用监控服务。

目前，尚无任何网络犯罪组织或勒索软件操作声称对此次攻击负责。该事件再次表明，即使是最专业的网络安全公司，其供应链中的薄弱环节也可能成为攻击入口，导致敏感数据外泄。