教育金融公司和俄克拉荷马州的学生贷款管理局（OSLA）正在通知250多万贷款人，他们的个人数据在一次网络攻击事件中被泄露。

根据其中一份漏洞披露信，含有该漏洞的目标系统是Nelnet Servicing，它是内布拉斯加州林肯市的服务系统、OSLA以及EdFinancial的网络门户供应商。

2022年7月21日，Nelnet通过一封信向受影响的贷款人披露了该漏洞。

信中说，事情发生后，我们网络安全团队立即采取了行动，确保信息系统的安全，阻止可疑的网络活动，修复漏洞，并及时与第三方安全专家展开调查，以确定攻击活动的性质和范围。

到8月17日，调查确定大量的个人用户信息被未授权访问。这些被曝光的信息包括姓名、家庭住址、电子邮件地址、电话号码和社会保险号码，总共有2,501,324名学生贷款账户的相关信息。幸运的是，用户的财务信息并没有被暴露。

根据Nelnet的总法律顾问Bill Munn向缅因州提交的漏洞披露文件，该漏洞发生在2022年6月1日至7月22日的某个时间。同时，一封给受影响客户的信则将漏洞被利用的时间锁定在7月21日。然而该漏洞一直到2022年8月17日才被发现。

根据Nelnet的说法，2022年7月21日，我们的服务系统和客户网站供应商Nelnet通知我们说他们发现了一个漏洞，我们认为是该漏洞导致了这一系列的攻击事件。

目前还不清楚这个漏洞是什么。

2022年8月17日，根据调查确定，从2022年6月开始到2022年7月22日结束，某些学生贷款账户注册信息一直被攻击者未授权访问。

未来攻击者的目标

Tanium公司的终端安全研究专家Melissa Bischoping在一份通过电子邮件发表的声明中解释道，尽管目前用户最敏感的财务数据得到了保护，但在Nelnet漏洞中被泄露的个人信息则有可能在未来的社会工程和网络钓鱼活动中被利用。

Bischoping说，随着最近关于学生贷款优惠政策的出台，我们有理由认为骗子会利用这一机会进行一系列的犯罪攻击活动。

上周，拜登政府宣布了一项计划，政府会为中低收入的借款人取消1万美元的学生贷款债务。他说，贷款优惠计划很可能会被用来引诱受害者打开网络钓鱼邮件。

他警告说，最近被泄露的数据将会被用来冒充受影响的品牌，进行一波又一波的针对学生和最近大学毕业生的网络钓鱼活动。

他写道，因为他们可以利用现有商业关系中的信任关系，他们可能特别具有欺骗性。

根据漏洞披露的信息，Nelnet Servicing告知Edfinancial、OSLA以及Nelnet Servicing的网络安全团队要立即采取行动，确保信息系统的安全，阻止可疑活动，修复漏洞，并与第三方取证专家展开调查，及时确定攻击活动的性质和范围。

关于此次事件的补救措施还包括两年的免费信用监测、信用报告和高达100万美元的身份盗窃保险。

参考及来源：https://threatpost.com/student-loan-breach-exposes-2-5m-records/180492/