Bugbountyplatform HackerOne waarschuwt personeel voor datalek na hack bij Navia

Bugbountyplatform HackerOne stelt honderden medewerkers op de hoogte van een datalek. Hun gegevens werden gestolen bij een hack bij Navia, een Amerikaanse dienst die wordt gebruikt voor personeelsadministratie.

Hackers hadden toegang tot de gegevens van Navia tussen 22 december 2025 en 15 januari 2026, blijkt uit een e-mail die HackerOne aan zijn personeel stuurde. Het lek werd op 23 januari ontdekt door Navia en een kleine maand later werden klanten op de hoogte gesteld, schrijft BleepingComputer op basis van die e-mail. HackerOne ontving die melding pas deze maand, schrijft het platform.

Bij het lek zijn 287 HackerOne-medewerkers betrokken. Er zijn socialsecuritynummers, volledige namen, adressen, telefoonnummers, geboortedata, e-mailadressen en arbeidsgegevens ingezien, blijkt uit de e-mail. Overigens zijn niet al die gegevens van elke medewerker openbaar gemaakt. Navia zal later deze week meldingen versturen waarin ze aangeven welke specifieke gegevens van individuele werknemers zijn getroffen.

Navia is een platform dat in de VS wordt gebruikt voor personeelszaken, zoals administratie, pensioenbeheer en het beheren van secundaire arbeidsvoorwaarden. De dienst heeft naar eigen zeggen 10.000 Amerikaanse werkgevers als klant.

HackerOne is op zijn beurt een bekend bugbountyplatform. Veel grote bedrijven zijn daarbij aangesloten, waaronder Anthropic, Intel, Nintendo, PayPal, Cloudflare, IBM en Adobe, maar bijvoorbeeld ook de Amerikaanse overheid. Via het platform kunnen die bedrijven pentests laten uitvoeren op hun diensten. HackerOne neemt dan ook het responsibledisclosurebeleid op zich.