学生贷款数据泄露曝光250万条记录

EdFinancial和俄克拉荷马学生贷款管理局（OSLA）正在通知超过250万借款人，他们的个人数据在一次数据泄露事件中遭到泄露。

根据一份违规披露信，此次泄露事件的目标是Nelnet Servicing，该公司是位于内布拉斯加州林肯市的服务系统和网络门户提供商，为OSLA和EdFinancial提供服务。Nelnet于2022年7月21日通过信件向受影响的贷款接收者披露了此次泄露事件。

信中写道："[我们的]网络安全团队立即采取行动保护信息系统，阻止可疑活动，修复问题，并启动[sic]了与第三方取证专家的调查，以确定该活动的性质和范围。"

到8月17日，调查确定未经授权的一方访问了用户的个人信息。暴露的信息包括总计2,501,324名学生贷款账户持有人的姓名、家庭住址、电子邮件地址、电话号码和社会安全号码。用户的财务信息未被泄露。

根据Nelnet总法律顾问Bill Munn向缅因州提交的违规披露文件，泄露事件发生在2022年6月1日至7月22日之间的某个时间。然而，一封致受影响客户的信件将泄露事件精确指向7月21日。该泄露事件于2022年8月17日被发现。

“2022年7月21日，我们的服务系统和客户网站门户提供商Nelnet Servicing, LLC (Nelnet)通知我们，他们发现了一个我们认为是导致此事件的漏洞，“Nelnet的信中写道。

目前尚不清楚该漏洞的具体情况。

信中写道：“2022年8月17日，调查确定，从2022年6月开始到2022年7月22日结束，某些学生贷款账户注册信息被未知方访问。”

贷款接收者成为目标

尽管用户最敏感的财务数据受到保护，但Tanium的终端安全研究专家Melissa Bischoping在一份通过电子邮件发送的声明中解释，在Nelnet泄露事件中被访问的个人信息"有可能在未来的社交工程和网络钓鱼活动中被利用”。

Bischoping说：“鉴于最近关于学生贷款减免的消息，可以合理预期诈骗者会利用这个机会作为犯罪活动的渠道。”

上周，拜登政府宣布了一项计划，为中低收入借款人免除1万美元的学生贷款债务。她表示，贷款减免计划将被用来诱使受害者打开网络钓鱼邮件。

她警告说，最近泄露的数据将被用来冒充受影响的品牌，针对学生和应届大学毕业生发起一波又一波的网络钓鱼活动。

她写道：“因为他们可以利用现有业务关系中的信任，所以可能特别具有欺骗性。”

根据违规披露信息，Nelnet Servicing告知Edfinancial和OSLA，其网络安全团队"立即采取行动保护信息系统，阻止可疑活动，修复问题，并启动了与第三方取证专家的调查，以确定该活动的性质和范围。”

补救措施还包括提供两年的免费信用监测、信用报告以及高达100万美元的身份盗窃保险。