信息來源：FreeBuf

據(jù)外媒報(bào)道，EdFinancial 和俄克拉荷馬州學(xué)生貸款管理局 (OSLA)已承認(rèn)，超過250萬學(xué)生用戶的個(gè)人數(shù)據(jù)和貸款記錄遭泄露，目前正在陸續(xù)通知受害者。

根據(jù)其披露的違規(guī)信息，造成此次數(shù)據(jù)泄露的主要元兇是Nelnet Servicing公司——一家服務(wù)系統(tǒng)和網(wǎng)絡(luò)門戶提供商，為 OSLA 和 EdFinancial 提供相應(yīng)的服務(wù)。

2022年7月，Nelnet公司曾向用戶發(fā)布了一封公開信，披露了存在的違規(guī)行為以及可能泄露個(gè)人貸款記錄。該公司在公開信中強(qiáng)調(diào)，在事件發(fā)生后，網(wǎng)絡(luò)安全團(tuán)隊(duì)立即采取行動(dòng)保護(hù)信息系統(tǒng)，并極力阻止一切可以行動(dòng)，及時(shí)與第三方網(wǎng)絡(luò)安全專家展開聯(lián)合調(diào)查，以確定活動(dòng)的性質(zhì)和范圍，盡可能解決這一網(wǎng)絡(luò)安全事件。

直到8月17日，調(diào)查結(jié)果顯示，個(gè)人用戶信息已經(jīng)被未經(jīng)授權(quán)的第三方訪問，數(shù)據(jù)泄露已成定局。此次事件中泄露了250萬學(xué)生貸款記錄，以及賬戶持有人的姓名、家庭住址、電子郵件地址、電話號(hào)碼和社會(huì)保險(xiǎn)號(hào)碼，個(gè)人財(cái)務(wù)信息沒有泄露。

Nelnet法律顧問向俄克拉荷馬州提交了違規(guī)披露文件，但尚不清楚被攻擊的原因和具體的漏洞信息。

盡管極為關(guān)鍵的個(gè)人財(cái)務(wù)信息沒有泄露，但是在 Nelnet事件中泄露的個(gè)人信息，未來很有可能被攻擊者在社會(huì)工程或網(wǎng)絡(luò)釣魚攻擊活動(dòng)中利用。恰好拜登政府上周出臺(tái)了一項(xiàng)“減免學(xué)生貸款”的計(jì)劃，中低收入貸款人取消 10000 美元的學(xué)生貸款債務(wù)，別有用心的犯罪分子可能會(huì)利用這個(gè)機(jī)會(huì)進(jìn)行詐騙，已經(jīng)貸款的用戶需提高警惕，認(rèn)真辨別消息的真?zhèn)?，避免上?dāng)受騙。