HackerNews 编译，转载请注明出处： 漏洞赏金平台HackerOne正在通知数百名员工，其个人数据在第三方美国福利管理商Navia遭黑客入侵后被窃取。 HackerOne管理着超过1950个漏洞赏金项目，为通用汽车、高盛、Anthropic、GitHub、Uber等知名企业，以及美国国防部等政府机构提供漏洞披露、渗透测试和代码安全服务。 Navia是美国领先的消费者导向福利管理商，服务超过1万家雇主。 在向缅因州总检察长办公室提交的申报文件中，HackerOne披露此次数据泄露影响了287名员工。 “据我们目前掌握的信息，由于存在对象级授权失效（BOLA）漏洞，未知行为体于2025年12月22日至2026年1月15日期间访问了Navia数据，”该公司表示。”2026年1月23日，Navia发现其环境中存在可疑活动。Navia于2月20日向受影响公司发送了通知函。” 泄露信息包括：社会安全号码、姓名、地址、电话、出生日期、邮箱地址、参保日期、生效日期及终止日期——涵盖每位受影响员工及其家属。 HackerOne建议受影响员工警惕可疑信息，监控财务账户异常活动，并使用Navia提供的12个月免费身份保护和信用监控服务。”如果密码或密码提示/安全问题涉及上述个人数据，建议一并更改，”公司补充道。 Navia本月早些时候披露事件时强调，数据泄露未影响受影响个人的理赔或财务信息。 然而，泄露的数据足以让威胁行为体对事件受害者发起钓鱼和社交工程攻击。 尽管Navia将此事件标记为数据窃取攻击，但目前尚无网络犯罪团伙或勒索软件组织宣称对此次入侵负责。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纳维亚福利解决方案公司（Navia）正告知近 270 万人，他们遭遇了数据泄露事件，敏感信息已暴露给攻击者。 对该事件的调查显示，黑客在 2025 年 12 月 22 日至 2026 年 1 月 15 日期间，得以访问该公司系统。不过，纳维亚公司于 1 月 23 日才发现这一可疑活动。 纳维亚公司表示，发现问题后立即做出响应，并展开调查，以确定此次事件可能造成的影响。 公司在向受影响人员发出的通知中称：“调查发现，在 2025 年 12 月 22 日至 2026 年 1 月 15 日期间，有未经授权的人员访问并获取了某些信息。” 纳维亚是一家以消费者为核心的福利管理机构，为全美 1 万多家雇主提供服务。 该公司提供软件及客户服务，用于管理灵活支出账户（FSA）、健康储蓄账户（HSA）、健康报销安排（HRA）、通勤福利以及《综合预算协调法案》（COBRA）相关服务。 此外，它还协助处理通勤福利、生活方式账户、教育福利、合规 / 风险服务以及退休相关事务。 据该公司透露，对此次数据泄露事件的调查表明，黑客访问并可能窃取了以下几类数据： 全名 出生日期 社会安全号码（SSN） 电话号码 电子邮件地址 健康报销安排（HRA）参与情况 灵活支出账户（FSA）信息 《综合预算协调法案》（COBRA）参保信息 纳维亚强调，此次数据泄露并未暴露理赔细节或财务信息。然而，这些已泄露的数据，已足以让威胁行为者针对受影响人员发动网络钓鱼和社会工程攻击。 该公司表示，已重新审视其安全态势和数据保留政策，以找出可能需要改进的薄弱环节，并已将此次事件通知联邦执法部门。 信息遭泄露的客户，将获克罗尔公司（Kroll）提供的为期 12 个月的免费身份保护及信用监测服务。同时，公司也建议收到通知信的客户考虑在其信用档案上设置欺诈警报和安全冻结。 截至撰稿时，尚无勒索软件组织宣称对纳维亚数据泄露事件负责。       消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文