HackerOne confirme l'exposition des données par l'attaque Navia
La plateforme de bug bounty HackerOne a annoncé le 25 mars 2026 que les informations personnelles appartenant à des centaines de ses employés ont été compromises lors d'une cyberattaque ciblant Navia Benefits Solutions, un administrateur tiers de prestations de santé. La violation représente un autre exemple d'attaques de la chaîne d'approvisionnement affectant les grandes entreprises de cybersécurité par le biais de leurs relations avec les fournisseurs.
Navia Benefits Solutions, qui fournit des services d'administration des prestations de santé et des avantages sociaux à de nombreuses organisations, a subi ce que les chercheurs en sécurité qualifient d'une violation de données « massive » qui a impacté plusieurs entreprises clientes au-delà de HackerOne. L'attaque s'est produite plus tôt ce mois-ci, bien que la date exacte du compromis initial n'ait pas été publiquement divulguée par l'une ou l'autre des entreprises.
HackerOne, connue pour exploiter l'une des plus grandes plates-formes de bug bounty au monde où les hackers éthiques signalent des vulnérabilités aux entreprises, a pris connaissance de la violation quand Navia a notifié ses clients au sujet de l'incident de sécurité. L'ironie n'a pas échappé aux professionnels de la sécurité qu'une entreprise dédiée à aider les organisations à corriger les failles de sécurité soit devenue victime d'une attaque de la chaîne d'approvisionnement.
Selon le reportage de BleepingComputer, la violation a exposé les informations personnelles des employés que Navia conservait dans le cadre de ses services d'administration des prestations. Ce type de données comprend généralement les noms, adresses, numéros de sécurité sociale, détails d'emploi et informations d'inscription aux régimes de santé.
L'attaque met en lumière la tendance croissante des cybercriminels à cibler les fournisseurs de services tiers pour accéder aux données de plusieurs organisations simultanément. Plutôt que d'attaquer chaque entreprise individuellement, les acteurs de menace peuvent compromettre un seul fournisseur et potentiellement accéder à des informations sensibles de dizaines ou de centaines d'organisations clientes.
HackerOne a été transparent au sujet de l'incident, notifiant immédiatement les employés affectés et commençant sa propre enquête interne pour déterminer l'ampleur complète de l'exposition. L'entreprise a souligné que sa plateforme de bug bounty principale et les données des clients restaient sécurisées, car la violation n'a affecté que les informations des employés stockées chez le prestataire de prestations tiers.
Étendue du compromis des données des employés chez HackerOne
La violation a affecté des centaines d'employés actuels et anciens de HackerOne dont les informations personnelles étaient stockées dans les systèmes de Navia dans le cadre de l'administration des prestations de santé de l'entreprise. Cela inclut les employés qui ont pu quitter l'entreprise mais dont les données restaient dans les dossiers de Navia à des fins de conformité réglementaire et de continuation des prestations.
Les informations exposées incluent probablement les données d'employé standard que les administrateurs de prestations maintiennent généralement : noms complets, adresses personnelles, numéros de téléphone, numéros de sécurité sociale, dates de naissance, dates de début et de fin d'emploi, informations salariales et détails d'inscription aux régimes de santé. Certains dossiers peuvent également contenir des informations relatives aux personnes à charge pour les employés qui ont inscrit les membres de la famille aux régimes de santé de l'entreprise.
HackerOne opère à l'échelle mondiale avec des employés aux États-Unis, en Europe et dans d'autres régions, bien que l'entreprise n'ait pas précisé quels emplacements géographiques ont été affectés par la violation de Navia. Étant donné que Navia dessert principalement des clients basés aux États-Unis, l'impact se concentre probablement sur la main-d'œuvre américaine de HackerOne et potentiellement sur les employés d'autres régions qui étaient inscrits aux programmes de prestations basés aux États-Unis.
Le calendrier de la divulgation suggère que HackerOne a pris connaissance de la violation au cours des dernières semaines et travaille à évaluer l'impact complet avant de rendre les informations publiques. Cela s'aligne sur les délais typiques de notification de violation où les entreprises d'abord enquêtent sur l'étendue, notifient les personnes affectées, puis font des divulgations publiques plus larges.
Au-delà de HackerOne, Security Affairs rapporte que plusieurs autres organisations utilisant les services de Navia ont également été impactées, ce qui suggère que cela pourrait être l'une des plus grandes violations de fournisseurs tiers de 2026 en termes du nombre total de personnes affectées dans toutes les entreprises clientes.
Mesures de réponse et étapes de protection des employés
HackerOne a mis en œuvre plusieurs mesures de réponse immédiates suite à la divulgation de la violation de Navia. L'entreprise a directement contacté tous les employés affectés par courrier électronique et courrier postal, fournissant des informations détaillées sur les données qui ont pu être compromises et les mesures que les employés doivent prendre pour se protéger contre l'usurpation d'identité et la fraude.
Les employés affectés sont invités à surveiller attentivement leurs rapports de crédit et à envisager de placer des alertes à la fraude ou des gels de crédit auprès des principaux bureaux de crédit. HackerOne fournit également un accès à des services de surveillance du crédit sans frais aux employés impactés, une pratique standard pour les organisations traitant les expositions de numéros de sécurité sociale.
L'entreprise a établi une ligne d'intervention dédiée aux incidents pour que les employés posent des questions sur la violation et obtiennent des conseils sur les mesures de protection. Les communications internes soulignent que bien que la violation des données des employés soit grave, les opérations commerciales principales, les données des clients et la plateforme de bug bounty de HackerOne restent entièrement sécurisées et non affectées.
D'un point de vue technique, HackerOne procède à un examen approfondie de toutes les relations avec les fournisseurs tiers pour évaluer les contrôles de sécurité et les pratiques de traitement des données. Cela inclut l'évaluation de la question de savoir si d'autres prestataires de services disposent de mesures de cybersécurité adéquates pour protéger les informations sensibles des employés ou des clients.
L'incident a incité HackerOne à accélérer les plans d'évaluations de sécurité des fournisseurs améliorées, y compris les exigences pour que les prestataires tiers subissent des audits de sécurité réguliers et démontrent la conformité avec les cadres standard de protection des données de l'industrie. L'entreprise examine également les pratiques de minimisation des données pour s'assurer que les fournisseurs ne conservent que le minimum d'informations personnelles nécessaires pour fournir leurs services.
Pour la communauté plus large de la cybersécurité, cette violation sert de rappel que même les organisations axées sur la sécurité restent vulnérables aux attaques de la chaîne d'approvisionnement. Elle souligne l'importance de programmes complets de gestion des risques tiers et la nécessité pour les organisations de maintenir des plans de réponse aux incidents qui tiennent compte des incidents de sécurité liés aux fournisseurs.
