كشفت شركة HackerOne عن تعرضها لهجوم على سلسلة التوريد أدى إلى تسريب بيانات حساسة تتعلق بموظفيها. وأفادت الشركة بأنها فقدت معلومات شخصية ومالية لـ287 من موظفيها، من بينها أرقام الضمان الاجتماعي، الأسماء الكاملة، العناوين، أرقام الهواتف، تواريخ الميلاد، عناوين البريد الإلكتروني، بالإضافة إلى تفاصيل خطط التأمين الصحي والمشاركة فيها، بما في ذلك تواريخ التسجيل وفعالية السياسات وتواريخ الإنهاء.
وفي رسالة وجهتها إلى الموظفين والمتضررين، أوضحت HackerOne أن المهاجم استغل ثغرة في نظام Navia، مزود حلول المنافع الوظيفية، تُعرف بضعف في تفويض الوصول إلى الكائنات (BOLA). وأشارت إلى أن الهجوم حدث في نهاية ديسمبر 2025، وأن Navia كشفت عن نشاط مريب في شبكتها في 23 يناير 2026، وأرسلت رسائل إلى الشركات المتضررة بتاريخ 20 فبراير 2026.
ولكن HackerOne أبدت استياءها من تأخر شركة Navia في إعلامها بالحادثة، حيث تلقت الشركة الرسالة في مارس 2026، منتقدة بطء استجابة المزود للخطر. وقالت إن الشركة لا تزال تنتظر مزيدًا من المعلومات حول الثغرة التي أدت إلى الاختراق، وتنتقد التأخير في الإبلاغ، مشيرة إلى أنها ستقوم بتحليل ممارسات أمن Navia بشكل مباشر، وتعيد تقييم اعتمادها على خدماتها.
حتى الآن، لا توجد أدلة على استغلال البيانات المسروقة بشكل نشط، وفقًا لـ HackerOne، لكنها حثت جميع المتضررين على توخي الحذر من رسائل البريد الإلكتروني والمراسلات المشبوهة التي قد تأتي باسم HackerOne أو Navia، خاصة تلك التي تطلب معلومات شخصية أو مالية.
تعتبر Navia مزود خدمات المنافع لأكثر من 10,000 صاحب عمل في الولايات المتحدة، وأشارت تقارير سابقة إلى أن الاختراق أصاب قرابة 2.7 مليون شخص. وحتى الآن، لم تتبنَ أي مجموعة مسؤولية الهجوم.
هذه الحادثة تبرز أهمية تعزيز أمن سلاسل التوريد والانتباه للثغرات التي قد تُستغل من قبل المهاجمين، خاصة في الشركات التي تتعامل مع بيانات حساسة وكبيرة الحجم.