HackerOne Ungkap Kebocoran Data Karyawan Buntut Peretasan Navia

Platform bug bounty dan keamanan siber terkemuka, HackerOne, tengah memberikan pemberitahuan resmi kepada ratusan karyawannya bahwa data pribadi mereka telah dicuri. Insiden ini merupakan dampak berantai setelah peretas berhasil membobol sistem keamanan Navia, salah satu penyedia layanan administrator tunjangan (benefits administrator) di Amerika Serikat yang bermitra dengan perusahaan.

Sebagai konteks, HackerOne merupakan platform raksasa yang mengelola lebih dari 1.950 program bug bounty dan menyediakan layanan pengungkapan kerentanan serta pengujian penetrasi untuk perusahaan level atas seperti General Motors, Goldman Sachs, GitHub, Uber, hingga badan pemerintah seperti Departemen Pertahanan AS. Sementara itu, Navia adalah administrator tunjangan yang melayani lebih dari 10.000 perusahaan di seluruh AS.

Eksploitasi Kerentanan BOLA dan Kronologi Insiden

Melalui dokumen laporan yang diserahkan kepada Kantor Jaksa Agung Maine, HackerOne mengungkapkan bahwa pelanggaran data ini secara spesifik mengekspos informasi sensitif milik 287 karyawannya.

Menurut laporan tersebut, celah keamanan ini bersumber dari kerentanan Broken Object Level Authorization (BOLA) pada infrastruktur Navia. Kerentanan ini memungkinkan aktor tak dikenal untuk mengakses data internal Navia dalam rentang waktu antara 22 Desember 2025 hingga 15 Januari 2026. Navia baru menyadari adanya aktivitas mencurigakan di lingkungan sistem mereka pada 23 Januari 2026, dan kemudian mengirimkan surat pemberitahuan resmi kepada perusahaan-perusahaan yang terdampak pada 20 Februari 2026.

Rincian Data yang Terekspos dan Langkah Mitigasi

Informasi sensitif yang berhasil diakses oleh peretas mencakup kombinasi data karyawan beserta tanggungan (keluarga) mereka, yang meliputi:

• Nomor Jaminan Sosial (SSN)
• Nama lengkap
• Alamat domisili
• Nomor telepon
• Tanggal lahir
• Alamat email
• Tanggal pendaftaran rencana tunjangan, tanggal efektif, dan tanggal penghentian.

Meskipun Navia menegaskan bahwa pelanggaran data ini tidak menyentuh klaim asuransi maupun informasi finansial (keuangan) individu yang terdampak, kumpulan data pribadi yang terekspos sudah lebih dari cukup bagi aktor ancaman untuk melancarkan serangan rekayasa sosial (social engineering) dan phishing yang sangat meyakinkan.

Untuk memitigasi risiko, HackerOne mengimbau para karyawan yang terdampak untuk ekstra waspada terhadap pesan mencurigakan dan rutin memantau akun keuangan mereka dari aktivitas anomali. Perusahaan juga sangat menyarankan karyawan untuk mempertimbangkan penggantian kata sandi atau pertanyaan keamanan jika komponen tersebut melibatkan data pribadi yang bocor. Selain itu, Navia menyediakan layanan pelindungan identitas dan pemantauan kredit secara gratis selama 12 bulan bagi para korban.

Hingga saat ini, meskipun insiden ini ditandai sebagai serangan pencurian data, belum ada kelompok kejahatan siber atau operasi ransomware yang mengklaim bertanggung jawab atas peretasan tersebut.