HackerNews 编译，转载请注明出处：

漏洞赏金平台HackerOne正在通知数百名员工，其个人数据在第三方美国福利管理商Navia遭黑客入侵后被窃取。

HackerOne管理着超过1950个漏洞赏金项目，为通用汽车、高盛、Anthropic、GitHub、Uber等知名企业，以及美国国防部等政府机构提供漏洞披露、渗透测试和代码安全服务。

Navia是美国领先的消费者导向福利管理商，服务超过1万家雇主。

在向缅因州总检察长办公室提交的申报文件中，HackerOne披露此次数据泄露影响了287名员工。

"据我们目前掌握的信息，由于存在对象级授权失效（BOLA）漏洞，未知行为体于2025年12月22日至2026年1月15日期间访问了Navia数据，"该公司表示。"2026年1月23日，Navia发现其环境中存在可疑活动。Navia于2月20日向受影响公司发送了通知函。"

泄露信息包括：社会安全号码、姓名、地址、电话、出生日期、邮箱地址、参保日期、生效日期及终止日期——涵盖每位受影响员工及其家属。

HackerOne建议受影响员工警惕可疑信息，监控财务账户异常活动，并使用Navia提供的12个月免费身份保护和信用监控服务。"如果密码或密码提示/安全问题涉及上述个人数据，建议一并更改，"公司补充道。

Navia本月早些时候披露事件时强调，数据泄露未影响受影响个人的理赔或财务信息。

然而，泄露的数据足以让威胁行为体对事件受害者发起钓鱼和社交工程攻击。

尽管Navia将此事件标记为数据窃取攻击，但目前尚无网络犯罪团伙或勒索软件组织宣称对此次入侵负责。

...

Crypto.com，一家全球领先的加密货币平台，拥有超过1亿用户，近日宣布与HackerOne合作，对其漏洞赏金计划进行重大升级。这一举措加强了该公司在不断发展数字资产领域中，对安全和客户保护的承诺。

...

知名网络安全公司HackerOne近日宣布，自2012年成立以来，其漏洞赏金计划已向白帽和漏洞研究人员发放了超 3 亿美元的奖励。

...

一名HackerOne员工窃取了通过漏洞赏金平台提交的漏洞报告并将其披露给受影响的客户以索取经济奖励。该公司于当地时间周五表示，这名流氓员工联系了7名客户并在少数披露中获取了赏金。

...