【安全资讯】HackerOne员工数据因供应商漏洞遭泄露，通报延迟引不满

概要：

在网络安全领域，第三方供应商的安全漏洞往往成为攻击者入侵大型企业的跳板。近日，知名漏洞赏金平台HackerOne披露，其近300名员工的敏感信息因供应商系统漏洞而遭泄露，事件凸显了供应链安全风险与事件响应延迟的严峻挑战。

主要内容：

此次数据泄露事件源于HackerOne的第三方员工福利服务提供商Navia Benefit Solutions。攻击者利用Navia环境中存在的“对象级别授权破坏”（BOLA）漏洞，在2025年12月22日至2026年1月15日期间未经授权访问了敏感数据。BOLA漏洞是一种常见的API安全缺陷，允许攻击者通过操纵对象标识符（如ID）来访问本应无权访问的数据记录。

Navia于1月23日检测到“可疑活动”并开始调查，但HackerOne声称直到3月才收到正式通知，原因是通知信函在2月20日寄出后于运输途中延迟。HackerOne对此次通知延迟表示不满，并仍在等待对方就延迟原因给出“令人满意的解释”。

泄露的数据类型极为敏感，包括员工的社保号码、全名、地址、电话号码、出生日期、电子邮件地址，以及健康计划参与信息和家属详情。尽管Navia声称目前没有证据表明数据已被滥用，但HackerOne已假设数据存在被滥用的风险，并建议员工警惕欺诈、网络钓鱼尝试和异常财务活动。

此次事件影响远超HackerOne，Navia上周透露其系统遭入侵已影响超过260万人。HackerOne表示正在审查Navia的安全和隐私实践，并考虑评估其他福利提供商选项。事件再次敲响警钟：供应商的单一漏洞、检测与披露之间的时间差，足以让下游受害者陷入被动，即便是HackerOne这样的专业安全公司亦未能幸免。