Bugbountyplatform HackerOne heeft zijn personeel geïnformeerd over een datalek waarbij persoonlijke gegevens van 287 medewerkers zijn gecompromitteerd. Het incident vond plaats bij Navia, een leverancier van personeelsadministratie- en pensioenbeheeroplossingen, die meer dan tienduizend organisaties bedient.

Navia ontdekte op 23 januari verdachte activiteiten in het netwerk. Onderzoek wees uit dat een aanvaller tussen 22 december 2025 en 15 januari 2026 toegang had tot diverse gegevens. In totaal zijn gegevens van 2,7 miljoen personen gestolen, waaronder namen, social-securitynummers, adressen, telefoonnummers, geboortedata en e-mailadressen. HackerOne kreeg te horen dat het datalek werd veroorzaakt door een Broken Object Level Authorization (BOLA) kwetsbaarheid. Navia informeerde getroffen klanten op 20 februari, maar HackerOne ontving de melding pas in maart. Het platform wacht nog op aanvullende informatie over de kwetsbaarheid en de vertraagde communicatie. Daarnaast voert HackerOne zelf een onderzoek naar het incident uit. HackerOne faciliteert bugbountyprogramma’s voor softwarebedrijven, overheden en andere organisaties, waarbij beveiligingsonderzoekers kwetsbaarheden kunnen melden.