Navia Benefit Solutions, een in de VS gevestigde aanbieder van voordelenadministratie, heeft een datalek bekendgemaakt waarbij bijna 2,7 miljoen mensen zijn getroffen na ongeautoriseerde toegang tot haar systemen.
Het bedrijf zei dat aanvallers tussen 22 december 2025 en 15 januari 2026 toegang hebben gehad tot hun netwerk. Verdachte activiteiten werden op 23 januari vastgesteld, waarna Navia een onderzoek startte om de omvang en impact van het incident te bepalen.
Navia biedt diensten aan meer dan 10.000 werkgevers in de Verenigde Staten en ondersteunt de administratie van werkplekvoordelen zoals flexibele uitgavenrekeningen, gezondheidsspaarrekeningen en COBRA-programma’s.
Volgens het bedrijf bleek uit het onderzoek dat een ongeautoriseerde actor toegang had gehad tot en mogelijk persoonlijke gegevens had verkregen die in zijn systemen waren opgeslagen. De blootgestelde informatie omvat volledige namen, geboortedata, sofinummers, telefoonnummers en e-mailadressen. Aanvullende gegevens met betrekking tot deelname aan uitkeringen, waaronder Health Reimbursement Arrangements en Flexible Spending Accounts, kunnen ook zijn getroffen.
Navia verklaarde dat de inbreuk geen financiële rekeninggegevens of claiminformatie betrof. De combinatie van persoonlijke identificaties en gegevens over voordelen kan echter worden gebruikt in gerichte phishing- of social engineering-activiteiten, afhankelijk van de beoordeling van het bedrijf.
Het bedrijf zei dat het op het incident reageerde door zijn systemen en gegevensverwerkingspraktijken te herzien om mogelijke zwakke plekken te identificeren. Het meldde de inbreuk ook bij de federale wetshandhavingsautoriteiten en zet het onderzoek naar het incident voort.
Getroffen personen worden op de hoogte gebracht en krijgen voor een beperkte periode diensten voor identiteitsbescherming en kredietmonitoring aangeboden. Het bedrijf heeft op het moment van de bekendmaking geen specifieke dreigingsgroep geïdentificeerd die verantwoordelijk is voor de inbreuk.
Het incident betreft gegevens die gekoppeld zijn aan systemen voor arbeidsvoordelen, die vaak persoonlijke en werkgerelateerde informatie bevatten die over meerdere jaren is verzameld.