- HackerOne foi afetada por vazamento de fornecedor nos EUA após violação da Navia Benefit Solutions, com dados pessoais de 287 colaboradores expostos.
- O incidente não atingiu diretamente a plataforma de bug bounty, mas elevou o risco de golpes e fraude com as informações acessadas.
- O ataque usou falha do tipo Broken Object Level Authorization (BOLA), com acesso apenas de leitura aos dados do fornecedor; janela de exposição de 22 de dezembro de 2025 a 15 de janeiro de 2026, detectada em 23 de janeiro de 2026.
- Entre os dados potencialmente comprometidos estão nome completo, endereço, telefone, e-mail, data de nascimento, número de seguridade social e informações de benefícios; não há indicação de exposição de dados financeiros ou de sinistros.
- A Navia participa de uma violação maior que atinge cerca de 2,7 milhões de pessoas; a HackerOne abriu investigação sobre as práticas de segurança da Navia e orientou os funcionários atingidos a monitorar contas e adotar proteções adicionais contra fraude.
A HackerOne informou ter sido impactada por um vazamento de dados envolvendo um fornecedor nos Estados Unidos. A violação, atribuída à Navia Benefit Solutions, administradora de benefícios de parte dos funcionários, não afetou diretamente a plataforma de bug bounty, mas expôs informações de 287 colaboradores.
Segundo a empresa, o acesso ocorreu por meio de uma falha conhecida como Broken Object Level Authorization (BOLA), que permitiu leitura não autorizada a dados do fornecedor. A exposição ocorreu entre 22 de dezembro de 2025 e 15 de janeiro de 2026, com detecção em 23 de janeiro de 2026.
Dados potencialmente comprometidos
Entre as informações potencialmente acessadas estão nome completo, endereço, telefone, e-mail, data de nascimento, número de seguridade social e dados ligados a benefícios. Não há indicação de exposição de dados financeiros ou de sinistros.
Contexto maior da violação
A HackerOne questionou o intervalo entre detecção e comunicação aos afetados. A Navia afirmou ter identificado o problema em janeiro, mas o aviso aos clientes ocorreu semanas depois, aumentando questionamentos sobre a resposta ao incidente. O caso integra uma violação maior que afeta cerca de 2,7 milhões de pessoas.
Reação e medidas adotadas
A HackerOne deu início a própria investigação sobre as práticas de segurança da Navia. Também orientou os funcionários atingidos a monitorar contas, desconfiar de contatos suspeitos e adotar medidas adicionais de proteção contra fraude. A empresa não informou impactos financeiros diretos.
Entre na conversa da comunidade