Bug bounty-platform HackerOne heeft bekendgemaakt dat de persoonsgegevens van 287 medewerkers zijn gestolen na een hack bij Navia, een Amerikaanse benefits administrator. HackerOne waarschuwt honderden medewerkers over het datalek dat is ontstaan door een kwetsbaarheid bij Navia.

HackerOne beheert meer dan 1.950 bug bounty-programma's en levert diensten op het gebied van kwetsbaarheidsrapportage, penetratietesten en codebeveiliging aan grote bedrijven zoals General Motors, Goldman Sachs, Anthropic, GitHub en Uber, evenals aan Amerikaanse overheidsinstanties zoals het Department of Defense. Navia is een toonaangevende benefits administrator die diensten verleent aan meer dan 10.000 werkgevers in de Verenigde Staten.

Volgens een melding bij het Office of the Maine Attorney General ontstond het datalek door een Broken Object Level Authorization (BOLA)-kwetsbaarheid, waardoor een onbekende partij tussen 22 december 2025 en 15 januari 2026 toegang kreeg tot Navia’s data. Navia ontdekte verdachte activiteiten op 23 januari 2026 en stuurde op 20 februari 2026 brieven naar de getroffen bedrijven.

De gelekte gegevens omvatten onder andere sofinummers, volledige namen, adressen, telefoonnummers, geboortedata, e-mailadressen, inschrijfdata van plannen, ingangsdata en beëindigingsdata van medewerkers en hun gezinsleden. HackerOne adviseert de betrokken medewerkers alert te zijn op verdachte berichten, hun financiële accounts te monitoren en gebruik te maken van de twaalf maanden gratis identiteitsbescherming en kredietbewaking die Navia aanbiedt. Daarnaast raadt het bedrijf aan wachtwoorden en beveiligingsvragen te wijzigen indien deze persoonlijke gegevens bevatten.

Navia benadrukte bij de bekendmaking van het incident dat het datalek geen invloed heeft gehad op de claims of financiële gegevens van de betrokken personen. Desondanks zijn de gelekte gegevens voldoende om phishing- en social engineering-aanvallen te faciliteren. Tot op heden heeft geen enkele cybercrimegroep of ransomware-organisatie de verantwoordelijkheid voor de hack opgeëist.