Supply chain атака показва слабости извън основната инфраструктура
HackerOne се оказа засегната от сериозен инцидент с изтичане на данни, но не чрез директна атака срещу собствените си системи, а чрез компрометиране на външен партньор. Става дума за Navia – компания, която управлява служителски придобивки и обслужва над 10 000 работодатели в САЩ.
Този случай ясно подчертава една от най-опасните тенденции в киберсигурността днес – атаките през веригата на доставки, при които дори организации с високо ниво на защита могат да бъдат засегнати индиректно.
Как се стига до пробива
Според официалната информация, причината за инцидента е уязвимост от типа Broken Object Level Authorization (BOLA) – проблем, характерен за API архитектури, при който се допуска достъп до ресурси без адекватна проверка на правата. Именно чрез подобна слабост неидентифициран атакуващ е успял да получи достъп до данни, съхранявани в системите на Navia.
Достъпът е осъществяван в продължение на няколко седмици – от края на декември 2025 г. до средата на януари 2026 г., което повдига въпроси относно нивото на мониторинг и откриване на аномалии. Подозрителната активност е била засечена едва на 23 януари, а уведомленията към засегнатите организации са изпратени почти месец по-късно.
Обхват и чувствителност на изтеклите данни
Инцидентът засяга 287 служители на HackerOne, но реалното значение на пробива се крие не толкова в броя, колкото в характера на компрометираната информация. Става дума за комбинация от лични и административни данни, които могат да бъдат използвани за изграждане на детайлен профил на засегнатите лица.
Сред изтеклата информация попадат идентификационни данни като социалноосигурителни номера, пълни имена, адреси, дати на раждане и контактна информация. Освен това са компрометирани и данни, свързани със служебния статус – периоди на заетост, участие в бенефит програми и информация за зависими лица.
Въпреки че Navia подчертава, че няма доказателства за достъп до финансови данни или искове, този тип информация е напълно достатъчен за извършване на кражба на самоличност или за организиране на добре таргетирани фишинг кампании.
Реакция и мерки за ограничаване на риска
След разкриването на инцидента, засегнатите служители са получили препоръки да бъдат особено внимателни към подозрителни съобщения и да следят финансовите си активности. Осигурена е и услуга за мониторинг на кредит и защита на идентичността за период от 12 месеца.
Въпреки това, подобни мерки имат по-скоро реактивен характер. Те не елиминират риска, а по-скоро се опитват да ограничат последствията след вече настъпил пробив.
Kогато сигурността зависи от партньори
Случаят е особено показателен, тъй като HackerOne е компания, която стои в основата на екосистемата за откриване на уязвимости и работи с организации от най-висок профил, включително General Motors, Goldman Sachs, GitHub и Uber, както и с МО на САЩ.
Именно това прави инцидента толкова значим – той демонстрира, че дори организации, които изграждат сигурността като основна услуга, могат да бъдат компрометирани чрез по-слабо защитени партньори.
BOLA и новата реалност на API сигурността
Уязвимостите от типа BOLA се превърнаха в един от най-често срещаните проблеми в съвременните уеб и облачни приложения. Те често остават незабелязани, тъй като системата функционира нормално, но проверките за достъп са недостатъчни или неправилно имплементирани.
В комбинация със сложни интеграции между различни платформи и доставчици, това създава идеални условия за атаки, които не изискват експлоатиране на класически уязвимости, а по-скоро злоупотреба с логиката на самите приложения.
Инцидентът с HackerOne и Navia е поредното доказателство, че класическата концепция за периметрова сигурност вече не е достатъчна. Организациите трябва да мислят за сигурността като за екосистема, в която всяка връзка – включително външните доставчици – може да се превърне в точка на компрометиране.
В този контекст, подходи като Zero Trust, стриктен контрол върху API достъпа и редовни одити на партньорите вече не са просто препоръчителни, а задължителни.
