Dentro la violazione di HackerOne: come un fornitore di benefit è diventato l’anello più debole

Quando pensi agli attacchi informatici, potresti immaginare hacker nell’ombra che irrompono direttamente nei caveau aziendali. Ma a volte la vera vulnerabilità si trova appena fuori dalle mura. È esattamente ciò che è accaduto a HackerOne, una delle principali piattaforme di bug bounty, i cui dipendenti si sono visti sottrarre dati sensibili - non attraverso i suoi sistemi, ma tramite un fidato fornitore di benefit, Navia Benefit Solutions.

La violazione è iniziata in silenzio, con gli attaccanti che si sono insinuati nei sistemi di Navia poco prima delle festività e sono rimasti inosservati per quasi un mese. Solo il 23 gennaio 2026 Navia si è resa conto che qualcosa non andava. A quel punto, il danno era fatto: informazioni personali appartenenti a milioni di persone - including quasi 300 dipendenti di HackerOne - erano state esposte.

Per HackerOne, un’azienda costruita sulla fiducia e sulla competenza in cybersecurity, l’ironia è tagliente. Nessuno dei loro server è stato toccato, nessuna segnalazione di bug dei clienti è trapelata. Invece, sono stati rubati i dati sensibili HR - nomi, numeri di Social Security, date di nascita e altro - gestiti da Navia per loro conto. La notifica ai dipendenti interessati non è arrivata fino a quasi due mesi dopo la scoperta della violazione, evidenziando la complessità delle indagini e della risposta agli incidenti di terze parti.

Questo incidente è un esempio da manuale di “attacco alla supply chain”, in cui gli hacker aggirano obiettivi ben difesi infiltrandosi nei loro fornitori. Nel mondo aziendale interconnesso di oggi, la sicurezza della tua azienda è forte solo quanto il tuo partner più debole. Navia, come molti amministratori di benefit, custodisce una miniera d’oro di dati personali ma potrebbe non avere le difese informatiche dei suoi clienti.

Navia afferma che non c’è “alcuna evidenza di uso improprio” dei dati rubati - una formula standard che offre poco conforto. La storia mostra che rassicurazioni del genere possono sgretolarsi rapidamente se i dati emergono su forum criminali o vengono usati in campagne di phishing. Gli esperti di sicurezza avvertono che, con così tante informazioni personali in mano, gli attaccanti possono costruire truffe convincenti, prendendo di mira le vittime per furto d’identità o ulteriori violazioni.

In risposta, Navia offre monitoraggio del credito gratuito tramite Kroll, e HackerOne afferma di stare rivedendo il proprio rapporto con il fornitore. La violazione ha anche alimentato richieste affinché le aziende rafforzino la supervisione delle proprie supply chain, pretendendo standard di privacy e sicurezza più rigorosi da tutti i partner.

Mentre i criminali informatici continuano a sfruttare gli anelli più deboli, la violazione HackerOne-Navia è un duro promemoria: nella cybersecurity la fiducia si conquista, ma la vigilanza è eterna - anche quando la minaccia arriva da chi ti fidi di più.

WIKICROOK

• Attacco alla supply chain: un attacco alla supply chain è un attacco informatico che compromette fornitori fidati di software o hardware, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
• Piattaforma di bug bounty: una piattaforma di bug bounty è un sito web in cui i ricercatori di sicurezza segnalano vulnerabilità alle organizzazioni, spesso ottenendo ricompense o riconoscimenti per le loro scoperte.
• Identificatori personali: gli identificatori personali sono dati sensibili, come numeri di Social Security o di passaporto, usati per identificare univocamente le persone e che richiedono una forte protezione.
• Monitoraggio del credito: il monitoraggio del credito è un servizio che controlla i tuoi report di credito e ti avvisa di attività sospette o di potenziale furto d’identità.
• Phishing: il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.