Navia Benefit Solutions, un prestataire américain d’administration des prestations, a révélé une violation de données touchant près de 2,7 millions de personnes après un accès non autorisé à ses systèmes.
L’entreprise a indiqué que les attaquants avaient accédé à son réseau entre le 22 décembre 2025 et le 15 janvier 2026. Une activité suspecte a été identifiée le 23 janvier, après quoi Navia a lancé une enquête pour déterminer l’ampleur et l’impact de l’incident.
Navia fournit des services à plus de 10 000 employeurs aux États-Unis, soutenant l’administration des avantages sociaux tels que les comptes de dépenses flexibles, les comptes d’épargne santé et les programmes COBRA.
Selon l’entreprise, l’enquête a révélé qu’un acteur non autorisé a accédé et a pu acquérir des données personnelles stockées dans ses systèmes. Les informations exposées incluent les noms complets, les dates de naissance, les numéros de sécurité sociale, les numéros de téléphone et les adresses e-mail. Des données supplémentaires relatives à la participation aux prestations, notamment les arrangements de remboursement santé et les comptes de dépenses flexibles, ont également pu être affectées.
Navia a déclaré que la violation ne concernait pas les détails financiers ni les informations sur les réclamations. Cependant, la combinaison d’identifiants personnels et de données liées aux avantages peut être utilisée dans des activités ciblées de phishing ou d’ingénierie sociale, selon l’évaluation de l’entreprise.
L’entreprise a indiqué avoir réagi à l’incident en revisant ses systèmes et ses pratiques de gestion des données afin d’identifier les faiblesses potentielles. Elle a également signalé la violation aux autorités fédérales chargées de l’application de la loi et poursuit son enquête sur l’incident.
Les personnes concernées sont informées et bénéficient de services de protection d’identité et de surveillance du crédit pour une période limitée. L’entreprise n’a pas identifié de groupe de menace spécifique responsable de la violation au moment de la divulgation.
L’incident concerne des données liées aux systèmes d’avantages sociaux en milieu de travail, qui contiennent souvent des informations personnelles et liées à l’emploi collectées sur plusieurs années.