A HackerOne, conhecida plataforma de recompensas por falhas informáticas, está a notificar centenas de funcionários sobre o roubo dos seus dados. O incidente teve origem num ataque à Navia, uma empresa responsável pela gestão de benefícios nos Estados Unidos, comprometendo informações sensíveis de trabalhadores e respetivos dependentes.
De acordo com um documento submetido ao Gabinete do Procurador-Geral do Maine, a quebra de segurança expôs a informação pessoal de 287 funcionários da HackerOne. A plataforma, que gere mais de 1.950 programas de recompensas e presta serviços de segurança a gigantes como a Anthropic, GitHub e Uber, viu os dados da sua equipa caírem nas mãos de terceiros através desta entidade parceira.
A origem da falha e os dados expostos
A Navia, que serve mais de dez mil empregadores em território norte-americano, foi vítima de uma vulnerabilidade de autorização, frequentemente designada por BOLA (Broken Object Level Authorization). Através desta falha, um interveniente desconhecido conseguiu aceder à informação entre 22 de dezembro de 2025 e 15 de janeiro de 2026. A atividade suspeita foi detetada pela empresa a 23 de janeiro de 2026, tendo as cartas de notificação sido enviadas às organizações afetadas a 20 de fevereiro de 2026.
A informação agora revelada abrange detalhes altamente sensíveis, incluindo números de segurança social, nomes completos, moradas, números de telefone, datas de nascimento, endereços de correio eletrónico e as datas de início e termo das apólices dos empregados e dos seus dependentes. A gestora de benefícios indicou que não houve acesso a dados financeiros ou a informações sobre pedidos de reembolso.
Medidas de mitigação adotadas
Apesar de a componente financeira não ter sido diretamente afetada, o volume de informação pessoal obtida é suficiente para alimentar campanhas de engenharia social e ataques de phishing. A HackerOne aconselhou os profissionais visados a manterem-se vigilantes contra mensagens invulgares e a acompanharem as movimentações nas suas contas bancárias. Foi igualmente sugerida a alteração de palavras-passe e de perguntas de segurança que tenham como base os elementos revelados.
Como forma de compensar o incidente, a Navia está a disponibilizar um ano de serviços gratuitos de monitorização de crédito e de proteção de identidade aos utilizadores prejudicados. Até ao momento, nenhuma operação criminosa reivindicou a autoria do roubo da informação.
Nenhum comentário
Seja o primeiro!