Bugbountyplatform HackerOne heeft medewerkers over een datalek geïnformeerd waarbij persoonlijke data van honderden medewerkers is gecompromitteerd. Het beveiligingsincident deed zich voor bij Navia, een bedrijf dat oplossingen biedt voor personeelsadministratie, pensioenbeheer en vermogensplanning, alsmede zaken met betrekking tot secundaire arbeidsvoorwaarden van medewerkers. Volgens Navia heeft het meer dan tienduizend organisaties als klant.

Navia stelt dat het op 23 januari verdachte activiteit in het netwerk ontdekte. Verder onderzoek wees uit dat een aanvaller tussen 22 december vorig jaar en 15 januari dit jaar toegang heeft gekregen tot allerlei informatie. Bij de aanval zijn gegevens van 2,7 miljoen mensen gestolen. Het gaat hierbij om medewerkers van organisaties die van de diensten van Navia gebruikmaken. In het geval van HackerOne gaat het om de gegevens van 287 medewerkers.

Het bugbountyplatform stelt dat het te horen kreeg dat het datalek is veroorzaakt door een Broken Object Level Authorization (BOLA) kwetsbaarheid. Navia informeerde getroffen klanten op 20 februari, maar HackerOne zegt dat het de betreffende brief pas in maart ontving. "We hebben nu bevestiging ontvangen van de data-elementen die zijn getroffen", aldus het bugbountyplatform. "We wachten nog steeds op aanvullende informatie over de kwetsbaarheid waardoor dit incident werd veroorzaakt, en een goede reden waarom we later zijn geïnformeerd."

Getroffen data bestaat onder andere uit social-securitynummers, namen, adresgegevens, telefoonnummers, geboortedatums en e-mailadressen Verder zegt HackerOne dat het zelf ook een onderzoek naar het incident doet. HackerOne laat softwarebedrijven, overheden en andere organisaties een bugbountyprogramma voor onderzoekers organiseren. Die kunnen zo naar kwetsbaarheden in websites en applicaties zoeken, waarbij HackerOne de coördinatie tussen de bugmelder en de gecompromitteerde of kwetsbare partij afhandelt.