助学贷款数据泄露事件波及250万条记录

助学贷款数据泄露事件波及250万条记录

作者：Nate Nelson
2022年8月31日 上午8:57
阅读时间：2分钟

分享本文：

此次泄露事件影响250万人，可能引发后续更多问题。

EdFinancial与俄克拉荷马州助学贷款管理局（OSLA）正在通知超过250万借款人，其个人数据在一次数据泄露事件中遭到暴露。

根据一份泄露通知信，此次攻击的目标是Nelnet Servicing公司——这家位于内布拉斯加州林肯市的服务机构同时为OSLA和EdFinancial提供贷款服务系统与网络门户服务。

Nelnet于2022年7月21日通过信函向受影响的贷款接收者披露了此次泄露事件。

信中写道："我们的网络安全团队立即采取行动保护信息系统，阻止可疑活动，修复问题，并携手第三方取证专家启动调查以确定事件性质和影响范围。"

截至8月17日，调查确认未经授权方访问了用户个人信息。泄露信息涵盖2,501,324名助学贷款账户持有人的姓名、家庭住址、电子邮箱、电话号码及社会安全号码。用户的财务信息未遭泄露。

根据Nelnet总法律顾问Bill Munn向缅因州提交的泄露事件备案文件，泄露发生在2022年6月1日至7月22日期间。但致受影响客户的信函将泄露时间精确指向7月21日。该泄露事件于2022年8月17日被发现。

Nelnet表示："2022年7月21日，我们的服务系统与客户网站门户提供商Nelnet Servicing有限责任公司通知我们，他们发现了一个我们认为导致本次事件的漏洞。"

具体漏洞细节尚未明确。

信中说明："2022年8月17日的调查确认，自2022年6月起至7月22日期间，未知方能够访问特定助学贷款账户注册信息。"

贷款接收者成攻击目标

尽管用户最敏感的财务数据受到保护，但Tanium终端安全研究专家Melissa Bischoping在电子邮件声明中解释，Nelnet泄露事件中被获取的个人信息"有可能在未来社会工程和钓鱼攻击中被利用"。

Bischoping指出："随着近期助学贷款减免政策的发布，可以预见诈骗分子会利用该事件作为犯罪活动的切入点。"

上周，拜登政府宣布为中低收入借款人减免1万美元助学贷款的计划。她表示这项贷款减免计划将被用于诱骗受害者打开钓鱼邮件。

她警告称，近期泄露的数据将被用于冒充受影响机构，针对学生及应届大学毕业生发起大规模钓鱼攻击。

她写道："由于攻击者能够利用现有业务关系中的信任，这类攻击尤其具有欺骗性。"

根据泄露披露信息，Nelnet Servicing告知Edfinancial和OSLA，其网络安全团队"立即采取行动保护信息系统，阻止可疑活动，修复问题，并携手第三方取证专家启动调查以确定事件性质和影响范围。"

补救措施还包括提供为期两年的免费信用监控、信用报告以及最高100万美元的身份盗用保险。