La plateforme de bug bounty HackerOne a averti plusieurs centaines d’employés que leurs données personnelles ont été compromises suite à une intrusion chez Navia, un administrateur de prestations aux États-Unis.
HackerOne supervise plus de 1 950 programmes de bug bounty et offre des services de divulgation de vulnérabilités, de tests d’intrusion et de sécurité de code à des entreprises de renom telles que General Motors, Goldman Sachs, GitHub, Uber et plusieurs agences gouvernementales américaines, y compris le Department of Defense.
Navia est un acteur majeur sur le marché des prestations, œuvrant pour plus de 10 000 employeurs à travers les États-Unis.
Dans un rapport adressé au bureau du procureur général du Maine, HackerOne a indiqué que la violation de données a exposé les informations sensibles de 287 employés.
« Nous avons été informés qu’une vulnérabilité de type Broken Object Level Authorization (BOLA) a permis à un acteur malveillant d’accéder aux données de Navia entre le 22 décembre 2025 et le 15 janvier 2026″, a précisé l’entreprise. « Le 23 janvier 2026, Navia a constaté une activité suspecte dans son système. Des lettres datées du 20 février 2026 ont ensuite été envoyées aux entreprises concernées. »
Les informations divulguées comprennent des numéros de sécurité sociale, noms complets, adresses, numéros de téléphone, dates de naissance, adresses électroniques, dates d’inscription aux plans, dates d’effet et dates de résiliation pour chaque employé touché ainsi que leurs bénéficiaires.
HackerOne a également conseillé aux employés affectés d’être vigilants face aux messages suspects, de surveiller leurs comptes financiers pour détecter toute activité inhabituelle et de tirer parti d’un service de protection de l’identité et de surveillance de crédit de 12 mois offert par Navia.
« Il peut également être judicieux de changer les mots de passe ou les indices de mot de passe/questions de sécurité s’ils impliquent les données personnelles mentionnées ci-dessus », a ajouté l’entreprise.
Bien que Navia ait divulgué l’incident plus tôt ce mois-ci, elle a souligné que cette violation de données n’a pas affecté les réclamations ou informations financières des individus concernés.
Néanmoins, les informations exposées peuvent permettre à des acteurs malveillants de mener des attaques par phishing et de social engineering contre les personnes impactées par cet incident.
Bien que Navia ait qualifié cet événement de vol de données, aucun groupe de cybercriminalité ou opération de ransomware n’a jusqu’à présent revendiqué la responsabilité de cette violation.