脆弱性調整とバグバウンティプラットフォームのリーディング企業であるHackerOneは、従業員に影響を与えるデータ侵害を正式に確認しました。
セキュリティインシデントはHackerOneの内部ネットワークまたはインフラストラクチャで直接発生しませんでした。代わりに、機密データはNaviaとして知られるサードパーティサービスプロバイダーへの標的型サイバー攻撃を通じて暴露されました。
従業員データが盗まれた
メイン州司法長官に提出された最近のデータ侵害通知によると、不正なアクターは昨年後半にNaviaの外部システムに侵入しました。
脅威アクターはセキュリティコントロールを回避し、2025年12月22日から2026年1月15日の間、侵害されたネットワークへのアクセスを維持しました。
セキュリティチームは2026年1月23日に外部システムの侵害を発見し、不正アクセスのスコープに関する即座のフォレンジック調査を促しました。
影響を受けたシステムとデータログの徹底的なレビューに続いて、公式な書面通知は2026年3月17日に影響を受けた個人に送付されました。
通知は攻撃のタイムラインを概説し、影響を受けたユーザーが個人情報を保護するための具体的な手順を提供します。
| インシデント詳細 | 情報 |
|---|---|
| 影響を受けたエンティティ | HackerOne Inc. |
| 侵害されたベンダー | Navia |
| 侵害期間 | 2025年12月22日~2026年1月15日 |
| 発見日 | 2026年1月23日 |
| 影響を受けた個人 | 287人 |
| 暴露されたデータ | 名前と個人識別子 |
| 救済措置 | 12~24ヶ月のKrollクレジットモニタリング |
侵害は具体的には287人の個人に影響を与え、これは主にNaviaによって管理されていた情報を持つHackerOne従業員を含みます。
被害者の総数は比較的少ないですが、盗まれたデータの性質は依然として深刻な懸念です。
攻撃者は他の重要な個人識別子と組み合わせて名前を正常に抽出しました。
HackerOneのコアプラットフォーム、顧客データベース、およびアクティブなバグバウンティプログラムが完全に安全なままであることを強調することが重要です。
脅威アクターは外部ベンダーのみを侵害し、サプライチェーンの脆弱性の増大する危険を強調しています。
堅牢な内部セキュリティ体勢を持つ組織でさえ、信頼できるベンダーがネットワーク侵入を経験する場合、データ暴露を受ける可能性があります。
緩和と対応努力
データ盗難への対応として、Naviaは影響を受けたHackerOne従業員を保護するための措置を実装しました。
同社はKrollを通じて無料のアイデンティティ盗難保護とクレジットモニタリングサービスを提供しています。
個人の特定の状況に応じて、これらの保護サービスは12~24ヶ月の期間アクティブなままになります。
影響を受けた従業員は、提供されたクレジットモニタリングサービスに登録し、潜在的なフィッシング試行に対して警戒を続けることを強く奨励されています。
脅威アクターは盗まれた個人識別子を頻繁に武器化して、標的型ソーシャルエンジニアリング攻撃を開始するか、金銭的詐欺を犯します。
このインシデントは、継続的なベンダーリスク評価が最新のサイバーセキュリティフレームワークの重要な構成要素のままであることへの重要な警告です。
翻訳元: https://gbhackers.com/hackerone-confirms-employee-data-stolen/
