EdFinancialとOklahoma Student Loan Authority(OSLA)は、250万人以上のローン契約者に対し、データ流出により個人情報が漏洩したことを通知しています。
情報漏えいの対象となったのは、OSLAとEdFinancialのシステムとウェブポータルを提供するネブラスカ州リンカーンに本社を置くNelnet Servicing(ネルネット)です。
ネルネットは、2022年7月21日、影響を受けるローン受領者に書簡で情報漏えいを明らかにした。
"書簡によると、「当社のサイバーセキュリティチームは、情報システムの安全確保、疑わしい活動のブロック、問題の修正、および活動の性質と範囲を決定するために第三者のフォレンジック専門家との調査を開始するために直ちに行動を起こしました。」とあります。
調査の結果、ユーザーの個人情報が不正にアクセスされたことが判明しました。流出した情報には、学生ローンの口座保有者合計251万1324人分の氏名、自宅住所、電子メールアドレス、電話番号、社会保障番号などが含まれています。利用者の財務情報は流出していません。
ネルネットの顧問弁護士であるBill Munn氏がメイン州に提出した情報漏洩の開示書類によると、情報漏洩は2022年6月1日から2022年7月22日の間に発生したとのことです。
開示書類には、"2022年7月21日、当社のサービシングシステムおよび顧客向けウェブサイトのポータルサイトを提供するネルネットから、今回の事故につながったと思われる脆弱性を発見したとの連絡があった "とあります。
しかし、その脆弱性が何であったかは不明です。
また、"2022年8月17日、この調査により、特定の学生ローン口座登録情報が、2022年6月から2022年7月22日にかけて、未知の第三者によってアクセスされていたことが判明しました "ともあります。
ユーザーの最も重要な財務データは保護されましたが、ネルネットの侵害でアクセスされた個人情報は、今後のソーシャルエンジニアリングやフィッシングキャンペーンで活用される可能性があります。
学生ローンの免除に関する最近のニュースでは、この機会が詐欺師によって犯罪行為の入り口として利用されると予想されます。
先週、バイデン政権は、低・中所得のローン利用者を対象に、1万ドルの学生ローン債務を帳消しにする計画を発表したが、ローン免除プログラムは被害者を誘い出し、フィッシングメールを開かせるために使われるだろうと述べた。
最近流出したデータは、学生や新卒者をターゲットにしたフィッシング・キャンペーンで、被害を受けたブランドになりすますために使用されると警告しています。
開示によると、ネルネットはEdfinancialとOSLAに、同社のサイバーセキュリティチームが "情報システムの安全確保、疑わしい活動のブロック、問題の修正、活動の性質と範囲を特定するための第三者フォレンジック専門家との調査を直ちに開始した "と報告しています。
また、是正措置には、2年間の無料クレジット・モニタリング、クレジット・レポート、最高100万ドルの個人情報盗難保険が含まれていました。