HackerOne heeft bevestigd dat persoonsgegevens van 287 medewerkers zijn gelekt als gevolg van een beveiligingsincident bij Navia, een externe dienstverlener voor werknemersvoordelen. Het datalek vond plaats in de systemen van Navia, niet binnen de infrastructuur van HackerOne zelf.

Volgens een officiële melding bij de Amerikaanse toezichthouder kregen aanvallers tussen 22 december 2025 en 15 januari 2026 toegang tot de systemen van Navia. De inbraak werd op 23 januari ontdekt, waarna een analyse volgde en betrokken organisaties werden geïnformeerd. Pas medio maart werden de getroffen personen op de hoogte gebracht. De gelekte gegevens omvatten onder meer namen, adressen, telefoonnummers, e-mailadressen, geboortedata, Amerikaanse burgerservicenummers, informatie over deelname aan regelingen en administratieve data zoals in- en uitschrijfdata. In sommige gevallen betreft het ook gegevens van gezinsleden. Het incident werd veroorzaakt door misbruik van een kwetsbaarheid in de toegangscontrole, waardoor onbevoegden toegang kregen zonder de juiste rechten. De dader is onbekend en er is geen claim van verantwoordelijkheid.

Hoewel er geen aanwijzingen zijn dat financiële gegevens of claimsystemen zijn getroffen, blijft het risico op phishing en andere vormen van social engineering groot. HackerOne adviseert getroffen medewerkers alert te zijn op verdachte communicatie en hun accounts en financiële gegevens goed te monitoren. Ook wordt aangeraden wachtwoorden en beveiligingsvragen te wijzigen indien deze gerelateerd zijn aan de gelekte informatie. Navia biedt identiteitsbescherming en kredietmonitoring aan via Kroll, die afhankelijk van de situatie tot maximaal twee jaar kan worden ingezet. Dit incident benadrukt het risico van afhankelijkheid van externe partijen voor gevoelige data, ook wanneer de eigen beveiliging op orde is.