学生贷款数据泄露事件：250万记录暴露与后续安全风险

EdFinancial和俄克拉荷马学生贷款管理局（OSLA）正在通知超过250万借款人，他们的个人数据在一次数据泄露事件中遭到暴露。此次泄露的目标是Nelnet Servicing，这是OSLA和EdFinancial位于内布拉斯加州林肯市的贷款服务和网络门户提供商。

根据泄露披露信，Nelnet于2022年7月21日通过信函向受影响的贷款接收者揭示了此次泄露事件。信中写道：“我们的网络安全团队立即采取行动保护信息系统，阻止可疑活动，修复问题，并与第三方取证专家展开调查，以确定活动的性质和范围。”

到8月17日，调查确定未经授权的一方访问了用户的个人信息。暴露的信息包括姓名、家庭地址、电子邮件地址、电话号码和社会安全号码，总计影响了2,501,324名学生贷款账户持有人。用户的财务信息未被暴露。

根据Nelnet总法律顾问Bill Munn向缅因州提交的泄露披露文件，泄露发生在2022年6月1日至7月22日之间的某个时间。然而，给受影响客户的信函将泄露时间精确到7月21日。泄露于2022年8月17日被发现。

信中进一步说明：“2022年7月21日，Nelnet Servicing, LLC（Nelnet）通知我们，他们发现了一个漏洞，我们认为这导致了此次事件。”目前尚不清楚漏洞的具体性质。

贷款接收者成为目标

尽管用户最敏感的财务数据受到保护，但在Nelnet泄露事件中被访问的个人信息“有可能在未来的社会工程和钓鱼活动中被利用”，Tanium的终端安全研究专家Melissa Bischoping在通过电子邮件发表的声明中解释道。

Bischoping表示：“随着最近学生贷款减免的消息，可以合理预期诈骗者会利用这一机会作为犯罪活动的门户。”上周，拜登政府宣布了一项计划，为中低收入借款人取消1万美元的学生贷款债务。她指出，贷款减免计划将被用来诱使受害者打开钓鱼邮件。

她警告说，最近泄露的数据将被用于冒充受影响品牌，针对学生和近期大学毕业生的钓鱼活动浪潮中。“因为他们可以利用现有业务关系中的信任，这些活动可能特别具有欺骗性，”她写道。

根据泄露披露，Nelnet Servicing告知Edfinancial和OSLA，其网络安全团队“立即采取行动保护信息系统，阻止可疑活动，修复问题，并与第三方取证专家展开调查，以确定活动的性质和范围。”补救措施还包括两年的免费信用监测、信用报告以及高达100万美元的身份盗窃保险。