学生贷款数据泄露暴露250万条记录

2022年8月31日，EdFinancial和俄克拉荷马学生贷款管理局（OSLA）通知超过250万借款人，他们的个人数据在一次数据泄露事件中被暴露。

此次泄露的目标是Nelnet Servicing，这是OSLA和EdFinancial位于内布拉斯加州林肯市的服务系统和门户网站提供商。根据泄露披露信，Nelnet于2022年7月21日通过信件向受影响的贷款接收者揭示了这一事件。

信中写道：“[我们的]网络安全团队立即采取行动保护信息系统，阻止可疑活动，修复问题，并与第三方取证专家展开调查，以确定活动的性质和范围。”

到8月17日，调查确定未授权方访问了用户个人信息。暴露的信息包括姓名、家庭地址、电子邮件地址、电话号码和社会安全号码，总计2,501,324名学生贷款账户持有人。用户的财务信息未被暴露。

根据Nelnet总法律顾问Bill Munn向缅因州提交的泄露披露文件，泄露发生在2022年6月1日至7月22日之间的某个时间。然而，给受影响客户的信指出泄露发生在7月21日。泄露于2022年8月17日被发现。

“2022年7月21日，Nelnet Servicing, LLC（Nelnet），我们的服务系统和客户网站门户提供商，通知我们他们发现了一个漏洞，我们相信这导致了此次事件，”根据Nelnet的说法。

目前尚不清楚漏洞是什么。

“2022年8月17日，这次调查确定，从2022年6月开始到2022年7月22日结束，某些学生贷款账户注册信息可以被未知方访问，”信中写道。

贷款接收者成为目标

尽管用户最敏感的财务数据受到保护，但在Nelnet泄露中被访问的个人信息“有可能在未来的社会工程和网络钓鱼活动中被利用，”Tanium的终端安全研究专家Melissa Bischoping在通过电子邮件的声明中解释。

“随着最近学生贷款减免的消息，可以合理预期诈骗者会利用这一机会作为犯罪活动的门户，”Bischoping说。

上周，拜登政府宣布了一项计划，为中低收入借款人取消1万美元的学生贷款债务。她表示，贷款减免计划将被用来引诱受害者打开网络钓鱼电子邮件。

她警告说，最近泄露的数据将被用于冒充受影响品牌，针对学生和近期大学毕业生的网络钓鱼活动浪潮。

“因为他们可以利用现有业务关系的信任，所以可能特别具有欺骗性，”她写道。

根据泄露披露，Nelnet Servicing告知Edfinancial和OSLA，其网络安全团队“立即采取行动保护信息系统，阻止可疑活动，修复问题，并与第三方取证专家展开调查，以确定活动的性质和范围。”

补救措施还包括两年的免费信用监控、信用报告和高达100万美元的身份盗窃保险。