学生贷款数据泄露：250万条记录曝光 | Threatpost

超过250万人受到影响，这次泄露事件可能在未来引发更多麻烦。

EdFinancial 和俄克拉荷马学生贷款管理局（OSLA）正在通知超过250万贷款人，他们的个人数据在一次数据泄露事件中遭到暴露。

根据一份泄露披露信，此次泄露事件的目标是Nelnet Servicing，该公司是OSLA和EdFinancial位于内布拉斯加州林肯市的服务系统和网络门户提供商。

Nelnet于2022年7月21日通过一封信函向受影响的贷款接收者披露了此次泄露事件。

信中提到：“[我们的]网络安全团队立即采取行动保护信息系统安全，阻止可疑活动，修复问题，并启动了与第三方取证专家的调查，以确定该活动的性质和范围。”

截至8月17日，调查确定个人用户信息被未授权方访问。泄露的信息包括姓名、家庭住址、电子邮件地址、电话号码和社会安全号码，总共涉及2,501,324名学生贷款账户持有人。用户的财务信息并未暴露。

根据Nelnet总法律顾问Bill Munn提交给缅因州的泄露披露文件，泄露事件发生在2022年6月1日至7月22日之间的某个时间。然而，一封致受影响客户的信函将泄露时间点确定为7月21日。泄露事件于2022年8月17日被发现。

“2022年7月21日，我们的服务系统和客户网站门户提供商Nelnet Servicing, LLC通知我们，他们发现了一个我们认为导致了此事件的漏洞，” Nelnet在信中表示。

目前尚不清楚具体是何种漏洞。

信中写道：“2022年8月17日，调查确定，从2022年6月开始到2022年7月22日为止，某些学生贷款账户注册信息可被未知方访问。”

贷款接收者成为目标

Tanium的终端安全研究专家Melissa Bischoping在一份通过电子邮件发布的声明中解释说，尽管用户最敏感的财务数据受到保护，但在Nelnet泄露事件中被访问的个人信息“有可能在未来的社会工程和网络钓鱼活动中被利用”。

Bischoping表示：“鉴于最近关于学生贷款减免的消息，可以合理预测这一事件将被诈骗分子用作犯罪活动的入口。”

上周，拜登政府宣布了一项计划，为中低收入贷款人免除10,000美元的学生贷款债务。她表示，这项贷款减免计划将被用来诱使受害者打开钓鱼邮件。

她警告说，近期泄露的数据将被用于冒充受影响的品牌，针对学生和应届大学毕业生发起一波又一波的网络钓鱼活动。

她写道：“因为他们可以利用现有业务关系中的信任，所以这些活动可能特别具有欺骗性。”

根据泄露披露，Nelnet Servicing通知Edfinancial和OSLA，其网络安全团队“立即采取行动保护信息系统安全，阻止可疑活动，修复问题，并启动了与第三方取证专家的调查，以确定该活动的性质和范围。”

补救措施还包括为期两年的免费信用监控、信用报告以及高达100万美元的身份盗窃保险。