Den Ablauf schildern beide Unternehmen in Meldungen an die Generalstaatsanwaltschaft von Maine. Navia stellte den unbefugten Zugriff auf seine Systeme am 23. Januar fest. Die Untersuchung ergab, dass der Angreifer bereits zwischen dem 22. Dezember 2025 und dem 15. Januar 2026 Zugang zu den Systemen hatte.

In dieser Zeit griffen die Angreifer laut Navia auf Daten zu und entwendeten sie. Dazu zählen Namen, Geburtsdaten, Sozialversicherungsnummern, Telefonnummern, E-Mail-Adressen sowie Angaben zu Gesundheitsplänen. Insgesamt seien knapp 2,7 Millionen Personen betroffen.

HackerOne nutzt Navia als einen seiner US-Dienstleister für Mitarbeiterleistungen. In der diese Woche eingereichten Meldung erklärte das Unternehmen, Navia habe es erst kürzlich darüber informiert, dass die Daten von 287 Beschäftigten betroffen sein könnten. Die Benachrichtigung von Navia trug nach Angaben von HackerOne das Datum 20. Februar, ging aber erst im März ein.

“Der sichere Umgang mit Ihren persönlichen Daten ist ein Kernbestandteil unserer Organisation, und HackerOne behandelt diesen Vorfall mit höchster Priorität”, erklärte das Unternehmen. Man werde eine eigene Untersuchung durchführen und sei in aktivem Austausch mit Navia, um die Hintergründe des Vorfalls zu klären und unmittelbare Verbesserungsmöglichkeiten zu ermitteln, damit die Daten der Mitarbeiter und ihrer Angehörigen geschützt seien.

Darüber hinaus kündigte HackerOne an, die Datenschutz- und Sicherheitsrichtlinien sowie die Praktiken von Navia zu prüfen. Sollte das Ergebnis nicht zufriedenstellend sein, werde man gemeinsam mit dem eigenen Makler andere mögliche Anbieter für Mitarbeiterleistungen in Betracht ziehen.

Navia teilte den Betroffenen mit, es lägen keine Hinweise auf einen “versuchten oder tatsächlichen Missbrauch” der offengelegten Daten vor. Ein solcher Hinweis auf fehlende Missbrauchsbelege ist allerdings eine Standardformulierung, die von betroffenen Unternehmen häufig verwendet wird. Im Fall von Navia gibt es bislang keine Anzeichen dafür, dass Kriminelle erbeutete Daten veröffentlicht haben; die genannte Formulierung wurde in der Vergangenheit jedoch auch von Firmen genutzt, deren Daten später öffentlich durchsickerten.