Wie aus der Benachrichtigung an die Betroffenen hervorgeht, stellte die Untersuchung fest, dass ein unbefugter Akteur zwischen dem 22. Dezember 2025 und dem 15. Januar 2026 bestimmte Informationen abrief und erlangte. Auffällig wurde die Aktivität jedoch erst am 23. Januar, also rund eine Woche nach dem Ende des Zugriffsfensters.

Navia versteht sich als verbraucherorientierter Leistungsverwalter und betreut nach eigenen Angaben mehr als 10.000 Arbeitgeber in den USA. Neben Software und Kundendiensten für FSA-, HSA-, HRA-, Pendler- und COBRA-Angebote übernimmt das Unternehmen auch die Abwicklung von Pendlerleistungen, Lifestyle-Konten, Bildungsleistungen, Compliance- und Risikodiensten sowie altersvorsorgebezogenen Angeboten.

Die Untersuchung ergab, dass der Angreifer auf bestimmte Datenarten zugriff und diese möglicherweise abzog. Navia betont, dass dabei weder Details zu Leistungsansprüchen noch Finanzinformationen offengelegt wurden. Gleichwohl genügten die betroffenen Daten, um Phishing- und Social-Engineering-Angriffe gegen die Betroffenen aufzusetzen.

Nach eigenen Angaben hat das Unternehmen seine Sicherheitslage und seine Richtlinien zur Datenaufbewahrung überprüft, um mögliche Schwachstellen zu identifizieren und zu verbessern. Zudem informierte Navia die Bundesstrafverfolgungsbehörden über den Vorfall.

Kundinnen und Kunden, deren Informationen offengelegt wurden, erhalten für zwölf Monate kostenlosen Identitätsschutz und eine Kreditüberwachung durch den Dienstleister Kroll. Den Empfängern der Schreiben wird zudem geraten, einen Betrugswarnhinweis (Fraud Alert) sowie eine Sperre (Security Freeze) für ihre Kreditdateien in Betracht zu ziehen.

Zum Zeitpunkt der Berichterstattung hat sich keine Ransomware-Gruppe zu dem Datenleck bei Navia bekannt.