HackerNews 编译，转载请注明出处：

漏洞赏金平台HackerOne正在通知数百名员工，其个人数据在第三方美国福利管理商Navia遭黑客入侵后被窃取。

HackerOne管理着超过1950个漏洞赏金项目，为通用汽车、高盛、Anthropic、GitHub、Uber等知名企业，以及美国国防部等政府机构提供漏洞披露、渗透测试和代码安全服务。

Navia是美国领先的消费者导向福利管理商，服务超过1万家雇主。

在向缅因州总检察长办公室提交的申报文件中，HackerOne披露此次数据泄露影响了287名员工。

“据我们目前掌握的信息，由于存在对象级授权失效（BOLA）漏洞，未知行为体于2025年12月22日至2026年1月15日期间访问了Navia数据，”该公司表示。”2026年1月23日，Navia发现其环境中存在可疑活动。Navia于2月20日向受影响公司发送了通知函。”

泄露信息包括：社会安全号码、姓名、地址、电话、出生日期、邮箱地址、参保日期、生效日期及终止日期——涵盖每位受影响员工及其家属。

HackerOne建议受影响员工警惕可疑信息，监控财务账户异常活动，并使用Navia提供的12个月免费身份保护和信用监控服务。”如果密码或密码提示/安全问题涉及上述个人数据，建议一并更改，”公司补充道。

Navia本月早些时候披露事件时强调，数据泄露未影响受影响个人的理赔或财务信息。

然而，泄露的数据足以让威胁行为体对事件受害者发起钓鱼和社交工程攻击。

尽管Navia将此事件标记为数据窃取攻击，但目前尚无网络犯罪团伙或勒索软件组织宣称对此次入侵负责。

---

消息来源：bleepingcomputer.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文