A HackerOne informou que foi afetada por um vazamento de dados em um fornecedor nos Estados Unidos, após a violação da Navia Benefit Solutions, empresa responsável pela administração de benefícios de parte de seus funcionários no país. Segundo a companhia, o incidente não atingiu diretamente a plataforma de bug bounty, mas expôs informações pessoais de 287 colaboradores.
De acordo com os relatos divulgados, o ataque à Navia explorou uma falha do tipo Broken Object Level Authorization (BOLA), que permitiu acesso não autorizado, em modo somente leitura, a dados mantidos pelo fornecedor. A janela de exposição teria ocorrido entre 22 de dezembro de 2025 e 15 de janeiro de 2026, enquanto a atividade suspeita foi detectada em 23 de janeiro de 2026.
Entre os dados potencialmente comprometidos estão nome completo, endereço, telefone, e-mail, data de nascimento, número de seguridade social e informações ligadas a benefícios. Embora não haja indicação de exposição de dados financeiros ou de sinistros, o conjunto é suficiente para alimentar golpes de phishing, fraude e roubo de identidade.
A HackerOne também questionou o intervalo entre a descoberta do incidente e a comunicação aos afetados. A empresa afirmou que a Navia detectou o problema em janeiro, mas a notificação aos clientes e impactados ocorreu semanas depois, o que aumentou a pressão sobre o fornecedor e levantou dúvidas sobre o tempo de resposta ao incidente. O caso faz parte de uma violação maior na Navia, que atinge cerca de 2,7 milhões de pessoas e envolve uma administradora de benefícios que atende mais de 10 mil empregadores nos Estados Unidos.
Isso amplia o peso do episódio e mostra como uma falha em terceiros pode afetar empresas de diferentes setores ao mesmo tempo. Como resposta, a HackerOne disse que abriu sua própria investigação sobre as práticas de segurança e privacidade da Navia e passou a orientar os funcionários atingidos a monitorar contas, desconfiar de contatos suspeitos e adotar medidas adicionais de proteção contra fraude.
