Dataintrång

Bug bounty-plattformen HackerOne drabbad av supply chain-angrepp via Navia

mars 25, 2026 / 4 Lästid

Bug bounty-plattformen HackerOne står inför en obehaglig ironi: företaget som hjälper organisationer att hitta säkerhetsbrister har själv fastnat i ett supply chain-angrepp som exponerade anställdas data i veckor innan någon visste att det hänt. HackerOne meddelade den 23 mars 2026 att 287 anställdas uppgifter stulits efter att angripare utnyttjat en sårbarhet hos Navia Benefit Solutions, företagets amerikanska förmånsadministratör.

Angreppet pågick från 22 december 2025 till 15 januari 2026, men HackerOne fick inte formell underrättelse förrän i mars. Navia skyller förseningen på att de behövde slutföra sin forensiska utredning, men The Register rapporterar att HackerOne öppet ifrågasätter tidslinjen och ”kräver en tillfredsställande förklaring” från sin leverantör.

En enda API-brist exponerade 2,7 miljoner poster

Grundorsaken var en Broken Object Level Authorization (BOLA)-sårbarhet i Navias API. Enligt Cybersecurity News tillät denna brist angripare obehörig läsåtkomst till interna system utan att installera ransomware eller ändra data, vilket höll intrånget dolt i veckor. Sårbarheten exponerade slutligen personuppgifter tillhörande 2,7 miljoner individer hos Navias 10 000 företagskunder.

Ingen ransomware-grupp har tagit ansvar för angreppet, och HIPAA Journal bekräftar att Navia inte meddelat om någon lösensumma krävts. De stulna uppgifterna inkluderade personnummer, fullständiga namn, adresser, telefonnummer, födelsedatum, e-postadresser och hälsoplansdetaljer — tillräckligt för att driva riktade identitetsstöldkampanjer även utan betalkortsdata.

HackerOnes kritik av tidslinjen för meddelandet är berättigad. Företaget upptäckte att det var drabbat först efter att ha fått Navias underrättelsebrev den 20 februari 2026, nästan sex veckor efter att Navia upptäckt intrånget. För ett företag vars verksamhet bygger på snabb sårbarhetsrapportering representerar denna försening exakt den typ av leverantörsrisk som styrelser kämpar för att kontrollera.

Andra stora intrånget på åtta månader

Denna incident följer på ett annat supply chain-angrepp mot HackerOne. Cybernews rapporterar att HackerOne i september 2025 bekräftade att det var bland företagen som drabbades av ett Salesforce-dataintrång genomfört av Scattered LAPSUS$ Hunters-gänget, som komprometterade över 700 stora organisationer inklusive Google, FedEx och Disney.

Två supply chain-intrång på åtta månader väcker frågor om leverantörsriskhantering hos ett företag som existerar för att identifiera säkerhetsbrister. HackerOne har meddelat att man granskar Navias säkerhetspraxis och kan byta leverantör om dessa visar sig otillräckliga.

Vad företag bör göra

Detta intrång visar varför tredjepartsriskbedömningar måste inkludera tidslinjer för meddelanden, inte bara säkerhetskontroller. Kontraktsspråk bör specificera maximala rapporteringsperioder, med påföljder för förseningar som lämnar nedströms kunder exponerade utan deras vetskap.

För HackerOne-anställda som drabbats av intrånget har företaget tillhandahållit 12 månaders gratis identitetsövervakning genom Kroll. Alla som använder samma lösenord på flera tjänster bör byta dessa uppgifter omedelbart, eftersom de stulna uppgifterna ger tillräckligt med detaljer för övertygande phishing-kampanjer.

SecurityWeek noterar den bredare lärdomen: även företag som specialiserar sig på säkerhet kan inte eliminera supply chain-risk helt, men de kan kräva transparens när intrång inträffar. HackerOnes offentliga kritik av Navias försenade meddelande kan tvinga andra förmånsleverantörer att ompröva sina egna incidenthanteringstidslinjer.