Beszállítói láncon keresztül történt adatvédelmi incidensről számolt be a HackerOne, amelynek során a cég több száz munkavállalójának érzékeny adatai kerülhettek illetéktelen kezekbe. A támadás nem közvetlenül a vállalat rendszereit érintette, hanem egy külső partner, a munkavállalói juttatásokat kezelő Navia rendszerén keresztül valósult meg.
A HackerOne közlése szerint összesen 287 dolgozó adatai érintettek. A kiszivárgott információk között szerepelhetett név, lakcím, telefonszám, e-mail cím, születési dátum, valamint társadalombiztosítási szám és különböző juttatásokkal kapcsolatos adatok is.
A támadás hátterében egy úgynevezett jogosultságkezelési sérülékenység állt, amely lehetővé tette, hogy a támadó illetéktelenül férjen hozzá bizonyos adatokhoz. A problémát a Navia rendszereiben használt egyik API kezelése okozta, amely nem megfelelően korlátozta a hozzáféréseket.
Az eset időzítése és kezelése is kérdéseket vet fel. A gyanús tevékenységet a szolgáltató január végén észlelte, azonban az érintett vállalatokat csak hetekkel később értesítették. A HackerOne jelezte, hogy jelenleg is további információkat vár a történtekről, és felülvizsgálja a partnerrel való együttműködését.
A cég szerint egyelőre nincs arra utaló jel, hogy a megszerzett adatokat visszaélésekre használták volna, ugyanakkor az érintetteket arra figyelmeztették, hogy fokozottan figyeljenek az adathalász kísérletekre és gyanús megkeresésekre.
Az eset túlmutat az érintett vállalaton. A Navia több mint tízezer amerikai cég számára nyújt szolgáltatást, és a korábbi jelentések szerint az incidens akár 2,7 millió ember adatait is érintheti.
Az ilyen típusú támadások egyre gyakrabban a beszállítói lánc gyenge pontjait célozzák. A vállalatok biztonsága így már nemcsak a saját rendszereik védelmén múlik, hanem azon is, hogy partnereik milyen szintű védelmet biztosítanak.
