脆弱性調整とバグバウンティプラットフォームとして広く知られているHackerOneは、サードパーティサービスプロバイダーNaviaの侵害に続いて、従業員に影響を与えるデータ侵害を確認しました。
このインシデントは、攻撃者が外部ベンダーをターゲットにして、主要な組織を直接侵害せずに機密データにアクセスする、サプライチェーン攻撃に関連する増加するリスクを強調しています。
侵入は2025年12月22日から2026年1月15日までの長期間にわたって発生しました。この期間中、脅威アクターは既存のセキュリティ管理をバイパスし、侵害された環境内で継続的なアクセスを維持することができました。
侵害は2026年1月23日に特定され、即座に調査が実施されました。侵害の範囲を特定し、アクセスされたデータの種類を特定するためにフォレンジック分析が実施されました。
このレビューに続いて、影響を受けた個人は2026年3月17日に正式に通知されました。
このインシデントは合計287人に影響を与え、主にNaviaによってデータが管理されていたHackerOneの従業員が対象です。
暴露された情報には名前および他の個人識別子が含まれており、ID盗難と標的化されたフィッシング攻撃のリスクが増加しています。
重要なことに、HackerOneはその内部インフラストラクチャ、顧客データ、およびバグバウンティプラットフォームが影響を受けなかったことを確認しました。
侵害はサードパーティベンダーに限定されており、強力な内部防御を備えた組織でさえそのサプライチェーンを通じて脆弱性が残ることを強化しています。
この攻撃は、より大きな組織の代わりに機密情報を保存または処理するベンダーをターゲットにする脅威アクターによって使用される一般的な戦術を示しています。
多くの場合、これらのベンダーはより弱いセキュリティ管理を持つ可能性があり、それらは魅力的なエントリーポイントとなります。
侵害に対応して、Naviaは影響を受けた個人への影響を軽減するための措置を講じています。同社はKrollを通じて無料の身元盗難防止およびクレジット監視サービスを提供しています。
これらのサービスは、個々の状況に応じて12から24ヶ月の期間利用可能です。
セキュリティ専門家は、盗まれたデータが後続攻撃、特にフィッシングおよびソーシャルエンジニアリングキャンペーンで悪用される可能性があると警告しています。
個人識別子にアクセスすることで、攻撃者はより説得力のあるメッセージを作成して、被害者を騙して追加の機密情報または認証情報を明かさせることができます。
影響を受けた個人は、警戒を怠らず、金融口座の疑わしい活動を監視し、提供される保護サービスに登録することをお勧めします。
組織はまた、ベンダーリスク管理戦略を再評価し、サードパーティプロバイダーが厳格なセキュリティ基準と継続的な監視慣行を遵守していることを確認することが奨励されています。
HackerOne-Naviaインシデントは、サプライチェーンセキュリティが現代のサイバーセキュリティの重要な構成要素であることを明確に思い出させます。
コアシステムが安全なままであっても、信頼できるパートナーを通じた間接的なエクスポージャーは重大なデータリスクにつながる可能性があります。
翻訳元: https://cyberpress.org/hackerone-data-breach/