HackerOne, die weltweit anerkannte Plattform für Vulnerability Disclosure und Bug-Bounty-Programme, steht jetzt selbst im Fokus einer Datenpanne. Allerdings nicht aufgrund eigener Sicherheitsmängel, sondern wegen einer Kompromittierung bei Navia, seinem amerikanischen Benefit-Administrator. Das Unternehmen Navia verwaltet die Zusatzleistungen für über 10.000 Arbeitgeber in den USA.
Die Attacke ereignete sich zwischen dem 22. Dezember 2025 und dem 15. Januar 2026. Ein unbekannter Angreifer nutzte eine Broken-Object-Level-Authorization-Schwachstelle (BOLA, CVE-Klassifizierung) aus, um auf Navias Systeme zuzugreifen. Erst am 23. Januar bemerkte Navia verdächtige Aktivitäten und informierte betroffene Unternehmen am 20. Februar.
Wie HackerOne in einer Mitteilung an die Generalstaatsanwältin von Maine offenlegte, wurden bei 287 Mitarbeitern umfangreiche persönliche Daten kompromittiert: Sozialversicherungsnummern, vollständige Namen, Adressen, Telefonnummern, Geburtsdaten, E-Mail-Adressen sowie Informationen zu Leistungsplänen. Auch Daten von Angehörigen wurden exponiert.
Besonders besorgniserregend ist das Gefährdungspotential dieser Datenkombination. Mit Sozialversicherungsnummern, Adressen und E-Mail-Adressen bewaffnet, können Cyberkriminelle gezielte Phishing- und Social-Engineering-Attacken durchführen. HackerOne empfiehlt betroffenen Mitarbeitern daher, verdächtige Nachrichten zu ignorieren, ihre Finanzkonten zu überwachen und von dem kostenlose 12-Monats-Identitätsschutz und Kreditüberwachungsdienst Gebrauch zu machen.
Bislang hat sich keine Cyberkriminalgruppe zu dem Angriff bekannt. Navia betont, dass die Finanz- und Leistungsinformationen nicht kompromittiert wurden. Dennoch zeigt der Vorfall ein grundsätzliches Problem: Hochspezialisierte Sicherheitsunternehmen sind nicht vor Lieferketten-Angriffen geschützt. Für deutsche Organisationen, die mit internationalen Plattformen kooperieren, ist dies ein Weckruf, Third-Party-Risiken ernster zu nehmen.