約300人のHackerOne従業員がデータ流出の影響を受けており、バグバウンティ企業は第三者の福利厚生プロバイダーが数週間の通知遅延を行ったことを厳しく批判しています。
メイン州司法長官への提出書によると、HackerOneは流出が自社システムからではなく、従業員福利厚生データを扱う米国ベースの管理者であるNavia Benefit Solutionsから発生したと主張しています。
影響を受けた従業員に送付された通知書によると、未知のサイバー犯罪者がNaviaの環境のBroken Object Level Authorization(BOLA)脆弱性を悪用し、2025年12月22日から2026年1月15日の間、機密データへの不正アクセスを可能にしました。
通知状によると、Naviaは1月23日に「疑わしい活動」を検出し、調査を開始しました。HackerOneは、2月20日付けの手紙が送付されたものの配送中に遅延したため、3月になるまで正式な通知を受け取らなかったと述べています。HackerOneはそのタイムラインに不満を表明し、「彼らの通知遅延に対する満足のいく理由」をまだ待機中であることを明確にしています。
より広い事件はHackerOne単独をはるかに超えています。Naviaは先週発表したところによると、数ヶ月前のシステム流出は260万人以上の人々に影響を与えました。Naviaは侵入についてそれ以上の詳細は共有しておらず、執筆時点ではそのウェブサイトが利用できない状態でしたが、この2つが関連しているかどうかは不明です。
流出したデータは身元盗難の「標的にされやすい情報」のようなものです。HackerOne従業員は、社会保障番号、フルネーム、住所、電話番号、生年月日、メールアドレスが危険にさらされている可能性があり、さらに医療保険プランへの加入詳細と扶養家族情報も含まれています。
Naviaはこれまでのところ悪用の証拠がないと主張していますが、HackerOneはデータがまだ悪用される可能性があると仮定して対応を進めています。従業員は詐欺、フィッシング試行、および異常な金融活動に注意するよう警告されており、クレジットのロックダウンを検討するよう勧告されています。
同社はまた、仕入先との関係を再検討する可能性があることを示唆しました。Naviaのセキュリティおよびプライバシー慣行を見直しており、それらが基準を満たしていない場合は「福利厚生プロバイダーの他の潜在的なオプション」を検討すると述べています。
これは何度も何度も見られてきた同じパターンです:仕入先のシステムの脆弱性、検出と開示の間の遅延、そしてその後に続く被害者たちが混乱に陥ります。ここでの違いは、被害者がHackerOne、つまりまさにこの種の問題を発見するために存在する企業だということです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/24/hackerone_supplier_breach/
