Dataintrång

Fyra stora dataintrång på en vecka blottlägger leverantörskedjan

mars 25, 2026 / 5 Lästid

Fyra stora organisationer meddelade dataintrång inom några dagar denna vecka, vilket blottlägger en gemensam nämnare: sårbarheter hos tredje part överträffar interna säkerhetsförsvar. HackerOne bekräftade att 287 anställdas uppgifter stulits genom ett leverantörsintrång, Infinite Campus erkände obehörig åtkomst till sitt Salesforce-konto, Mazda avslöjade en kompromiss av lagersystem som påverkade 692 poster, och holländska finansdepartementet blockerade interna system efter att ha upptäckt obehörig åtkomst.

Tidpunkten är inte tillfällig. Detta är inte isolerade incidenter utan symptom på en säkerhetskris i leverantörskedjan som accelererar snabbare än de flesta organisationer kan anpassa sig för att försvara sig mot den.

HackerOne får lektioner av sin egen leverantör

HackerOne, bug bounty-plattformen som existerar för att hitta säkerhetsbrister, föll offer för ett leverantörsintrång som exponerade personuppgifter för 287 anställda. Ironin är tjock nog att skära med kniv. Intrånget skedde genom Navia Benefit Solutions, en tredjepartsadministratör för förmåner som hanterar anställdas hälsoplansuppgifter för HackerOne och cirka 10 000 andra företagskunder.

Enligt BleepingComputer utnyttjade angripare en Broken Object Level Authorization (BOLA)-sårbarhet i Navias system mellan 22 december 2025 och 15 januari 2026. Navia upptäckte intrånget 23 januari men HackerOne notifierades inte förrän i mars. Den två månader långa förseningen har fått HackerOne att offentligt kritisera Navias notifieringstidslinje och hota att hitta en ny förmånsleverantör.

Den stulna datan inkluderar personnummer, fullständiga namn, adresser, telefonnummer, födelsedatum och hälsoplansdetaljer för HackerOne-anställda och deras anhöriga. Det totala intrånget påverkade 2,7 miljoner personer över Navias kundbas, vilket gör det till ett av de större tredjepartsintrången på rekord.

ShinyHunters riktar in sig på studentinformationssystem

Infinite Campus, som hanterar data för 11 miljoner studenter i 46 amerikanska delstater, bekräftade att threat actors fick obehörig åtkomst till en anställds Salesforce-konto. Företaget betjänar mer än 3 200 skoldistrikt, vilket gör det till ett högt värderat mål för datastöldoperationer.

Utpressningsgruppen ShinyHunters tog på sig ansvaret och postade en ”sista varning” på dark web-forum som krävde lösenbetalning senast 25 mars. Infinite Campus vägrade förhandla. Enligt företagets uttalande till skoldistrikt exponerade intrånget namn och kontaktuppgifter för skolpersonal, varav det mesta är offentligt tillgängligt på skolors webbplatser. Inga studentdatabaser nåddes, enligt företagets utredning.

Detta följer ShinyHunters mönster att rikta in sig på Salesforce-kunder genom social engineering-angrepp på helpdesks. Gruppen har komprometterat hundratals företag det senaste året, inklusive en kampanj som resulterade i över 1,5 miljarder stulna poster från Salesloft Drift-kunder. PowerSchool-intrånget i december 2024 exponerade 62 miljoner studentposter genom liknande taktik.

Holländska regeringssystem komprometterade

Holländska finansdepartementet avslöjade att angripare fick obehörig åtkomst till interna system inom dess policyavdelning. Intrånget upptäcktes först 19 mars efter att en tredje part varnade departementet om misstänkt aktivitet, enligt BleepingComputer.

Tjänstemän blockerade åtkomst till komprometterade system, vilket störde arbetet för ett ospecificerat antal anställda. Departementet uppgav att kärntjänster inklusive skatteuppbörd, tullverksamhet och förmånshantering förblir opåverkade. Ingen hotgrupp har tagit på sig ansvaret.

Detta bidrar till ett oroande mönster för holländska regeringsorgan. Den nationella polisen drabbades av ett statligt aktörintrång i september 2024 som exponerade polisers kontaktuppgifter, och flera andra departement drabbades av stora intrång i april 2025.

Leverantörskedjeproblemet förvärras

Tre av dessa fyra incidenter spåras tillbaka till tredjepartsrelationer: HackerOne genom sin förmånsleverantör, Infinite Campus genom Salesforce, och Mazda genom sitt lagerhanteringssystem. Mönstret är konsistent med en grundläggande förändring i hur organisationer komprometteras.

Direkta angrepp på välförsvarade primära system blir alltmer svåra. Att angripa leverantörer, tjänsteleverantörer och molnplattformar erbjuder threat actors en väg till flera offer genom en enda kompromiss. Enbart Navia-intrånget påverkade 2,7 miljoner personer över 10 000 företag. Den avkastningen på investeringen är omöjlig att uppnå genom individuella företagsangrepp.

HackerOnes offentliga kritik av Navias notifieringstidslinje avslöjar en annan kritisk svaghet: de flesta organisationer har begränsad insyn i sina leverantörers incidenthanteringsförmågor. När en leverantör drabbas av intrång är nedströmskunderna helt beroende av den leverantörens upptäcktshastighet och avslöjandepraxis.

Vad företag bör granska denna vecka

Granska era leverantörskontrakt för tidslinjer för intrångsnotifiering. Om en leverantör inte förbinder sig att meddela er inom 72 timmar efter att ha upptäckt en kompromiss, kan den luckan lämna er organisation exponerad i månader utan vetskap. HackerOne-Navia-fallet visar varför generiska leverantörsavtal är otillräckliga.

Kartlägg vilka leverantörer som har åtkomst till anställdas personuppgifter, kundinformation eller interna system. Prioritera säkerhetsgranskningar för dessa relationer, särskilt förmånsadministratörer, löneadministratörer och molntjänstplattformar som lagrar känslig data för flera kunders räkning.

För organisationer inom utbildningssektorn bör Infinite Campus-kompromissen föranleda omedelbar granskning av säkerhetskontroller för Salesforce-konton. Aktivera IP-restriktioner, genomdriv multifaktorautentisering och granska vilka anställda som har administratörsnivååtkomst till kundrelationshanteringssystem.