北京
找漏洞的人,這次被供應商的漏洞找了麻煩。HackerOne近300名員工數據泄露,源頭不是自家系統,而是第三方福利管理商Navia Benefit Solutions的一個BOLA授權漏洞。攻擊者在2025年12月22日到2026年1月15日期間自由出入,拿走了社保號、住址、生日、健康計劃信息——全套身份盜竊 starter pack。
Navia 1月23日就發現了異常,HackerOne卻等到3月才收到正式通知。中間那封2月20日的信,據說"在途延誤"。HackerOne毫不客氣地記了一筆:「仍在等待一個令人滿意的延遲解釋」。換句話說,供應商的危機公關速度,比漏洞修復還慢。
這起事件波及遠超HackerOne。Navia上周承認,同一入侵影響了260多萬人。公司網站目前無法訪問,是否與攻擊有關尚不清楚。更諷刺的是,HackerOne的業務就是幫別人找這種漏洞,現在卻要幫員工監控信用凍結、提防釣魚郵件。
HackerOne已經放話,正在重新評估Navia的安全實踐,"其他潛在供應商選項"也在考慮中。一個靠挑別人安全毛病吃飯的公司,最終可能因為供應商的安全毛病換供應商——這閉環有點黑色幽默。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
