Laut HackerOne führte eine Broken-Object-Level-Authorization-Schwachstelle (BOLA) dazu, dass ein unbekannter Akteur zwischen dem 22. Dezember 2025 und dem 15. Januar 2026 auf Daten bei Navia zugreifen konnte. Navia bemerkte am 23. Januar 2026 verdächtige Aktivitäten in seiner Umgebung. Die mit dem 20. Februar 2026 datierten Benachrichtigungsschreiben gingen anschließend an die betroffenen Unternehmen.
Die offengelegten Informationen umfassen je nach Person eine Kombination aus Sozialversicherungsnummern, vollständigen Namen, Adressen, Telefonnummern, Geburtsdaten und E-Mail-Adressen sowie Daten zu Anmeldung, Inkrafttreten und Beendigung von Leistungsplänen. Betroffen sind sowohl die einzelnen Mitarbeiter als auch deren Angehörige.
HackerOne rief die betroffenen Mitarbeiter dazu auf, bei verdächtigen Nachrichten vorsichtig zu sein und ihre Finanzkonten auf ungewöhnliche Aktivitäten zu überwachen. Zudem verwies das Unternehmen auf den von Navia bereitgestellten kostenlosen Schutz vor Identitätsdiebstahl und die Kreditüberwachung für zwölf Monate. “Sie sollten zudem in Erwägung ziehen, Passwörter oder Passwort-Hinweise beziehungsweise Sicherheitsfragen zu ändern, sofern diese die oben genannten persönlichen Daten betreffen”, ergänzte HackerOne.
Navia betonte bei der Offenlegung des Vorfalls in diesem Monat, dass das Datenleck keine Auswirkungen auf Leistungsansprüche oder Finanzinformationen der Betroffenen gehabt habe. Die abgeflossenen Daten reichen allerdings aus, damit Angreifer Phishing- und Social-Engineering-Attacken gegen die betroffenen Personen führen können.
Obwohl Navia den Vorfall als Datendiebstahl einstufte, hat sich bislang weder eine Cyberkriminellengruppe noch eine Ransomware-Operation zu dem Angriff bekannt.
