- HackerOneが福利厚生プロバイダーNaviaを経由したサプライチェーン侵害を確認
- 287人の従業員の機密データが公開 – SSN、住所、健康保険プランの詳細を含む
- HackerOneがNaviaの対応遅延を批判; データ悪用の証拠はまだなし、ただし全体的に270万人が影響を受ける
HackerOneは、機密従業員データが失われたサプライチェーン攻撃の被害者であることを明かした。
同社はメイン州司法長官室に新しい報告書を提出し、287人の従業員が社会保障番号、フルネーム、住所、電話番号、生年月日、メールアドレス、健康保険加入状況(はい/いいえ)、非健康保険加入状況(はい/いいえ)、プラン加入日、有効日、終了日の組み合わせを失ったことを確認した。
影響を受けた個人に送付された手紙で、HackerOneは2025年12月下旬から2026年1月初旬に、脅威アクターが従業員福利厚生ソリューションプロバイダーであるNaviaの不正なオブジェクトレベル認可(BOLA)脆弱性を悪用することに成功したと説明した。
記事は以下に続く
まだ請求なし
「2026年1月23日、Naviaは自社環境での疑わしいアクティビティに気付きました。Naviaは2026年2月20日付の手紙を影響を受けた企業に送付しました」と手紙はさらに述べている。
HackerOneは手紙を2026年3月にのみ受け取ったと述べており、サービスプロバイダーの一見遅い対応を厳しく批判している:
「本インシデントにつながった脆弱性に関する追加情報と、当社への通知遅延の満足な理由をまだ待っています」とHackerOneは述べた。同社はNaviaのセキュリティ慣行を直接分析し、そのサービスの利用を再評価すると強調した。
これまでのところ、盗まれたデータが野生で悪用されていることを示す証拠はないとHackerOneは述べている。ただし、影響を受けたすべての個人に対し、特にHackerOneまたはNaviaから発信されていると主張する電子メールや他の通信形式に注意するよう促している。
Naviaは10,000社以上の米国雇用主の福利厚生を処理しています。TechRepublicによる以前のレポートによると、Navia侵害はほぼ270万人に影響を与えました。脅威アクターグループはまだ攻撃の責任を主張していません。
そしてもちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式のアンボックスを見ることができます。また、WhatsAppでも定期的なアップデートを受け取ることができます。
