HackerOne-Datenleck durch Drittanbieter trifft Mitarbeiter

Ein Datenleck beim Dienstleister Navia hat sensible Daten von fast 300 HackerOne-Mitarbeitern und ihren Angehörigen offengelegt. Die Bug-Bounty-Plattform selbst wurde nicht direkt gehackt – der Angriff zielte auf ihren Partner für Mitarbeiterleistungen. Das zeigt erneut die Schwachstellen in digitalen Lieferketten.

Navia-Schwachstelle ermöglichte monatelangen Zugriff

Der Vorfall geht auf eine Sicherheitslücke bei Navia Benefit Solutions Inc. zurück. Ein unbefugter Akteur nutzte eine sogenannte Broken Object Level Authorization (BOLA)-Schwachstelle aus. Diese erlaubt Zugriff auf Daten, für die keine Berechtigung besteht.

Der Angreifer hatte zwischen dem 22. Dezember 2025 und dem 15. Januar 2026 Zugang zu den Systemen. Navia entdeckte die verdächtigen Aktivitäten am 23. Januar und leitete eine Untersuchung ein. Die formelle Benachrichtigung an HackerOne erfolgte jedoch erst im März – mit erheblicher Verzögerung.

Der Vorfall bei Navia zeigt drastisch, wie unvorbereitet viele Unternehmen auf moderne Cyberangriffe und deren rechtliche Folgen sind. Dieser kostenlose Leitfaden unterstützt Sie dabei, Ihre IT-Sicherheit mit einfachen Maßnahmen proaktiv zu stärken, ohne das Budget zu sprengen. Effektive Strategien gegen Cyberkriminelle entdecken

Sozialversicherungsnummern und Adressen betroffen

Insgesamt sind Daten von 287 HackerOne-Mitarbeitern und deren Angehörigen kompromittiert. Die gestohlenen Informationen sind vielfältig und sensibel: Neben Sozialversicherungsnummern und vollständigen Namen wurden auch Adressen, Geburtsdaten und E-Mail-Adressen erbeutet.

Auch der Status der Krankenversicherung sowie Plan-Eintritts- und Kündigungsdaten sind im Datensatz. Diese Kombination birgt ein hohes Risiko für Identitätsdiebstahl. Navia gab gegenüber Behörden an, dass insgesamt fast 2,7 Millionen Personen von dem Leck betroffen sind.

HackerOne kritisiert späte Warnung

HackerOne zeigt sich verärgert über die verzögerte Kommunikation. Das Unternehmen wartet noch auf weitere Details zur Schwachstelle und eine Begründung für die späte Benachrichtigung. Intern prüft HackerOne nun die Sicherheitspraktiken von Navia.

Gleichzeitig erwägt die Plattform, künftig auf alternative Anbieter für Mitarbeiterleistungen umzusteigen. Die eigenen Kernsysteme und Kundendatenbanken seien von dem Vorfall nicht berührt, betont HackerOne.

Was bedeutet das für Verbraucher?

Der Fall zeigt: Selbst Cybersicherheits-Experten sind nicht vor Angriffen über ihre Partner gefeit. Für Verbraucher unterstreicht das die allgegenwärtige Gefahr durch Lieferketten-Angriffe. Die gestohlenen Daten sind ein gefundenes Fressen für Identitätsdiebstahl und gezieltes Phishing.

Betroffene erhalten von Navia einen kostenlosen Identitätsschutz-Dienst für zwölf Monate. Alle Verbraucher sollten verdächtige Nachrichten kritisch prüfen und ihre Kontobewegungen im Auge behalten.

Nach Datenlecks nutzen Hacker gestohlene Informationen oft für täuschend echte CEO-Fraud- oder Phishing-Versuche gegen Mitarbeiter. Mit diesem kostenlosen 4-Schritte-Guide erhalten Sie eine konkrete Anleitung zur Hacker-Abwehr und schützen Ihre Organisation wirksam vor Cyber-Angriffen. Kostenloses Anti-Phishing-Paket herunterladen

Branche muss Lieferkettensicherheit neu denken

Der Vorfall wird die Branche zwingen, ihre Abhängigkeit von Drittanbietern kritisch zu hinterfragen. Künftig dürften Verträge strengere Sicherheitsauflagen und klarere Meldewege bei Vorfällen enthalten. Transparenz und Geschwindigkeit werden zum entscheidenden Faktor.

Für HackerOne geht es nun darum, das Vertrauen der eigenen Community aus ethischen Hackern und Kunden zu halten. Der Vorfall ist eine Mahnung: Digitale Sicherheit endet nicht an der eigenen Firewall.

boerse | 68990046 |