Navia Benefit Solutions, ein US-amerikanischer Anbieter der Leistungsverwaltung, hat eine Datenpanne bekanntgegeben, die fast 2,7 Millionen Personen nach unbefugtem Zugriff auf seine Systeme betrifft.
Das Unternehmen teilte mit, dass Angreifer zwischen dem 22. Dezember 2025 und dem 15. Januar 2026 auf sein Netzwerk zugegriffen hätten. Verdächtige Aktivitäten wurden am 23. Januar festgestellt, woraufhin Navia eine Untersuchung einleitete, um das Ausmaß und die Auswirkungen des Vorfalls zu ermitteln.
Navia bietet mehr als 10.000 Arbeitgebern in den Vereinigten Staaten Dienstleistungen an und unterstützt die Verwaltung von Arbeitsplatzleistungen wie flexiblen Ausgabenkonten, Gesundheitssparkonten und COBRA-Programmen.
Laut dem Unternehmen ergab die Untersuchung, dass ein nicht autorisierter Akteur auf personenbezogene Daten zugegriffen und möglicherweise persönliche Daten in seinen Systemen erhalten hat. Die offengelegten Informationen umfassen vollständige Namen, Geburtsdaten, Sozialversicherungsnummern, Telefonnummern und E-Mail-Adressen. Weitere Daten zur Teilnahme an Leistungen, einschließlich Gesundheitserstattungsvereinbarungen und flexiblen Ausgabenkonten, könnten ebenfalls betroffen gewesen sein.
Navia erklärte, dass der Vorstoß keine Finanzkontodetails oder Schadensinformationen betraf. Allerdings kann die Kombination aus persönlichen Identifikatoren und leistungsbezogenen Daten in gezielten Phishing- oder Social-Engineering-Aktivitäten verwendet werden, basierend auf der Bewertung des Unternehmens.
Das Unternehmen erklärte, es habe auf den Vorfall reagiert, indem es seine Systeme und Datenverarbeitungspraktiken überprüft habe, um potenzielle Schwachstellen zu identifizieren. Sie meldete die Verletzung auch den Bundesstrafverfolgungsbehörden und setzt die Untersuchung des Vorfalls fort.
Betroffene Personen werden benachrichtigt und für einen begrenzten Zeitraum Identitätsschutz sowie Kreditüberwachungsdienste angeboten. Das Unternehmen hat zum Zeitpunkt der Offenlegung keine spezifische Bedrohungsgruppe identifiziert, die für den Verstoß verantwortlich ist.
Der Vorfall betrifft Daten, die mit Arbeitsleistungssystemen verbunden sind und oft persönliche und arbeitsbezogene Informationen enthalten, die über mehrere Jahre gesammelt wurden.