指尖日報 科技情報組
美國企業福利管理服務的知名供應商Navia Benefit Solutions,在近期證實遭遇了一場大規模的資料外洩事件,近270萬名客戶的敏感個人資訊暴露於風險之中。這起事件再次凸顯了第三方服務商在企業供應鏈中的資安脆弱性,引發廣泛關注。
根據Navia向緬因州總檢察長辦公室提交的正式文件,此次外洩事件影響人數高達2,697,540人。 駭客利用其系統漏洞,在長達數週的時間內悄悄潛伏,而許多受害者可能從未直接聽說過這家處理他們健康福利的公司。
整起事件的時間軸顯示,未經授權的行為始於12月22日,並一直持續到2026年1月15日。 根據多家國際媒體報導,Navia直到2026年1月23日才發現其內部網路出現可疑活動,這意味著駭客擁有超過三週的充裕時間來存取並竊取資料。
外洩的資料內容極為敏感,包含用戶的全名、社會安全码(SSN)、出生日期、電話號碼與電子郵件地址。 此外,與健康福利相關的資訊,例如彈性支出帳戶(FSA)、健康報銷安排(HRA)及COBRA持續保險的註冊狀況等,也一併遭到外洩。
值得慶幸的是,Navia在聲明中強調,外洩範圍並未觸及更直接的財務資訊。根據SecurityWeek的報導,該公司表示,如銀行帳戶、信用卡號碼或詳細的醫療索賠紀錄等資料並未在此次事件中被盜取。 不過,僅憑現有外洩的個資,已足以讓犯罪份子進行精密的釣魚詐騙與身分盜用攻擊。
部分資安媒體進一步披露,攻擊者可能利用了Navia應用程式介面(API)中的一個特定漏洞。 根據Security Affairs引述的報告,一個被稱為「物件級授權破損」(Broken Object Level Authorization)的技術缺陷,成為了駭客入侵的破口。 這種類型的漏洞凸顯了在軟體開發層面積極防禦的重要性。
Navia總部位於華盛頓州,為全美超過一萬家企業客戶管理員工福利計畫。 此次事件波及範圍甚廣,甚至連網路安全公司HackerOne都證實其約287名員工的資料因使用Navia的服務而遭到外洩,顯示了供應鏈攻擊的連鎖效應無遠弗屆。
作為應對措施,Navia已通報聯邦執法部門,並從2026年3月18日開始,陸續向所有受影響的個人寄發通知信函。 根據The Record的報導,該公司同時提供受害者為期12個月的免費信用監控與身分盜竊保護服務,希望能降低潛在損害。
相關報導:paubox.com、securityaffairs.com
