250万人が影響を受け、今後さらなる問題を引き起こす可能性のある漏洩となりました。
EdFinancialとオクラホマ学生ローン機構(OSLA)は、250万人以上の借り手に対し、個人情報がデータ漏洩で流出したことを通知しています。
漏洩の標的となったのは、OSLAとEdFinancialのためのサービスシステムおよびウェブポータルプロバイダーであるネブラスカ州リンカーン拠点のNelnet Servicingだったと、漏洩開示書簡で明らかにされています。
Nelnetは、2022年7月21日に影響を受けたローン受給者に書簡で漏洩を通知しました。
「[当社の]サイバーセキュリティチームは、情報システムの安全確保、不審な活動の遮断、問題の修正、そして第三者のフォレンジック専門家とともに調査を開始するなど、直ちに対応しました」と書簡には記載されています。
8月17日までに、調査により個人ユーザー情報が不正な第三者によってアクセスされたことが判明しました。漏洩した情報には、氏名、自宅住所、メールアドレス、電話番号、社会保障番号が含まれており、合計2,501,324件の学生ローン口座保有者が影響を受けました。ユーザーの財務情報は漏洩していません。
Nelnetの法務顧問ビル・マンによってメイン州に提出された漏洩開示書によると、漏洩は2022年6月1日から7月22日の間に発生しました。しかし、影響を受けた顧客への書簡では、漏洩は7月21日と特定されています。漏洩が発見されたのは2022年8月17日です。
「2022年7月21日、Nelnet Servicing, LLC(Nelnet)、当社のサービスシステムおよび顧客ウェブサイト
ポータルプロバイダーが、このインシデントにつながったと考えられる脆弱性を発見したと通知してきました」とNelnetは述べています。
その脆弱性が何であったかは明らかになっていません。
「2022年8月17日、この調査により、2022年6月から7月22日までの間に、特定の学生ローン口座登録情報が不明な第三者によってアクセス可能であったことが判明しました」と書簡には記載されています。
ローン受給者が標的に
ユーザーの最も機密性の高い財務データは保護されていましたが、Nelnetの漏洩でアクセスされた個人情報は「今後のソーシャルエンジニアリングやフィッシング攻撃に悪用される可能性がある」と、Taniumのエンドポイントセキュリティ研究スペシャリスト、メリッサ・ビショッピング氏はメール声明で説明しています。
「最近の学生ローン免除のニュースを受け、詐欺師がこの機会を犯罪活動の入り口として利用することが予想されます」とビショッピング氏は述べています。
先週、バイデン政権は低・中所得層の借り手に対し、学生ローンの1万ドルを免除する計画を発表しました。彼女は、ローン免除プログラムが被害者をフィッシングメールに誘導するために利用されるだろうと述べています。
彼女は、最近漏洩したデータが、学生や最近大学を卒業した人々を標的としたフィッシングキャンペーンで、影響を受けたブランドになりすますために利用されると警告しています。
「既存のビジネス関係への信頼を利用できるため、特に巧妙な手口となり得ます」と彼女は記しています。
漏洩開示によると、Nelnet ServicingはEdFinancialとOSLAに対し、Nelnet Servicingのサイバーセキュリティチームが「情報システムの安全確保、不審な活動の遮断、問題の修正、そして第三者のフォレンジック専門家とともに調査を開始するなど、直ちに対応した」と通知しました。
対応策として、2年間の無料クレジットモニタリング、クレジットレポート、最大100万ドルの個人情報盗難保険も提供されました。
翻訳元: https://threatpost.com/student-loan-breach-exposes-2-5m-records/180492/