A plataforma de bug bounty HackerOne notificou centenas de funcionários sobre o roubo de seus dados após um ataque cibernético à Navia, uma administradora de benefícios nos EUA. O incidente expôs informações sensíveis de 287 funcionários, incluindo números de Seguro Social, nomes completos, endereços, números de telefone, datas de nascimento e detalhes de planos de benefícios. A vulnerabilidade que permitiu o acesso não autorizado foi identificada como uma falha de autorização de nível de objeto quebrada (BOLA), que permitiu que um ator desconhecido acessasse os dados entre 22 de dezembro de 2025 e 15 de janeiro de 2026. A Navia tomou conhecimento da atividade suspeita em 23 de janeiro de 2026 e notificou as empresas afetadas em cartas datadas de 20 de fevereiro de 2026. Embora a Navia tenha afirmado que o incidente não afetou as reivindicações ou informações financeiras dos indivíduos impactados, os dados expostos são suficientes para que ataques de phishing e engenharia social sejam realizados. HackerOne aconselhou os funcionários afetados a monitorar suas contas financeiras e a considerar a alteração de senhas. Até o momento, nenhum grupo de cibercrime assumiu a responsabilidade pelo ataque.
Fonte: https://www.bleepingcomputer.com/news/security/hackerone-discloses-employee-data-breach-after-navia-hack/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
24/03/2026 • Risco: ALTO
VAZAMENTO
HackerOne informa sobre roubo de dados de funcionários da Navia
RESUMO EXECUTIVO
O incidente de segurança envolvendo a Navia e HackerOne destaca a vulnerabilidade de dados sensíveis e a necessidade de ações proativas para proteger informações pessoais. A falha de autorização que permitiu o acesso não autorizado é um alerta para a importância de monitorar e corrigir vulnerabilidades em sistemas de terceiros.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados a ações corretivas e multas por não conformidade.
Operacional
Exposição de dados sensíveis de 287 funcionários.
Setores vulneráveis
['Tecnologia', 'Serviços financeiros', 'Administração de benefícios']
📊 INDICADORES CHAVE
287 funcionários afetados
Indicador
Dados expostos incluem números de Seguro Social e informações pessoais
Contexto BR
Período de acesso não autorizado de 25 dias
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há dados sensíveis expostos e avaliar a segurança dos sistemas de terceiros.
2
Implementar medidas de segurança adicionais e treinar funcionários sobre como identificar tentativas de phishing.
3
Monitorar continuamente as contas financeiras dos funcionários afetados e a atividade de segurança em sistemas relacionados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de dados sensíveis e a conformidade com a LGPD, além de considerar a possibilidade de ataques de phishing direcionados.
⚖️ COMPLIANCE
Implicações diretas na LGPD, que exige a proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
