Bugbountyplatform HackerOne informeert personeel over datalek

In dit artikel:

Bugbountyplatform HackerOne heeft medewerkers geïnformeerd dat persoonlijke gegevens van honderden van hen zijn gelekt na een inbraak bij Navia, een leverancier van personeelsadministratie-, pensioen- en secundaire arbeidsvoorwaardendiensten met naar eigen zeggen meer dan tienduizend klanten. Navia ontdekte verdachte netwerkactiviteit op 23 januari; nader onderzoek wees uit dat een aanvaller tussen 22 december en 15 januari toegang had gekregen tot systemen. In totaal zijn gegevens van ongeveer 2,7 miljoen mensen buitgemaakt, waarvan 287 medewerkers van HackerOne.

Het gelekte materiaal omvat onder meer sofinummers, namen, adressen, telefoonnummers, geboortedata en e-mailadressen. HackerOne meldt dat de oorzaak lijkt te liggen in een Broken Object Level Authorization (BOLA)-kwetsbaarheid. Navia informeerde getroffen klanten op 20 februari, maar HackerOne ontvingen de mededeling pas in maart en vraagt om meer details over zowel de kwetsbaarheid als de late berichtgeving. Het platform doet daarnaast zelf onderzoek naar de impact op zijn personeel.

BOLA‑fouten maken het mogelijk dat kwaadwillenden ongeautoriseerd data van andere gebruikers benaderen, wat het risico op identiteitsfraude en spoedmaatregelen voor getroffen personen verhoogt.