HackerOne prijavio krađu podataka zaposlenih posle upada u Navia sistem
HackerOne je obavestio stotine zaposlenih da su im podaci ukradeni nakon kompromitacije kompanije Navia, jednog od američkih administratora beneficija sa kojim sarađuje. HackerOne je platforma za bug bounty programe, prijavu ranjivosti i bezbednosno testiranje, pa incident pogađa firmu koja je i sama duboko vezana za bezbednosnu industriju. Prema navodima iz teksta, izloženi su osetljivi lični podaci 287 zaposlenih i njihovih članova porodice, a uzrok je povezan sa BOLA propustom koji je omogućio nepoznatom akteru pristup Navia podacima.
Ovakav slučaj pokazuje da bezbednosni rizik ne dolazi samo iz sopstvenog okruženja, već i kroz partnere i spoljne administratore koji obrađuju osetljive podatke. Čak i kada nisu ugroženi finansijski podaci ili sistemi firme, količina ličnih informacija dovoljna je za phishing, social engineering i krađu identiteta.
- Upozoriti pogođene osobe na povećan rizik od phishing i social engineering poruka
- Pratiti finansijske naloge i druge lične servise zbog sumnjivih aktivnosti
- Promeniti lozinke, sigurnosna pitanja i recovery opcije ako se oslanjaju na izložene lične podatke
- Preispitati bezbednosne zahteve prema trećim stranama koje obrađuju podatke zaposlenih
- Proveriti da li partneri i dobavljači imaju propuste u kontroli pristupa kao što je BOLA