Gelecekte daha fazla soruna yol açabilecek bir ihlalden 2,5 milyon kişi etkilendi.
EdFinancial ve Oklahoma Öğrenci Kredi Otoritesi (OSLA), 2,5 milyondan fazla kredi alan kişiye, kişisel verilerinin bir veri ihlali nedeniyle açığa çıktığı konusunda bildirimde bulunuyor.
Bir ihlal açıklama mektubuna göre, ihlalin hedefi, Lincoln, Neb. tabanlı hizmet sistemi ve OSLA ve EdFinancial için web portalı sağlayıcısı olan Nelnet Servicing'ti.
Nelnet, ihlali etkilenen kredi alıcılarına 21 Temmuz 2022'de bir mektup aracılığıyla bildirdi.
Mektuba göre "[Bizim] siber güvenlik ekibimiz bilgi sisteminin güvenliğini sağlamak, şüpheli faaliyeti engellemek, sorunu düzeltmek için derhal harekete geçti ve faaliyetin niteliğini ve kapsamını belirlemek için üçüncü taraf adli tıp uzmanlarıyla birlikte bir soruşturma başlattı."
17 Ağustos itibarıyla soruşturma, kişisel kullanıcı bilgilerine yetkisiz bir tarafın eriştiğini belirledi. Açığa çıkan bilgiler arasında toplam 2.501.324 öğrenci kredisi hesabı sahibinin isimleri, ev adresleri, e-posta adresleri, telefon numaraları ve sosyal güvenlik numaraları yer alıyordu. Kullanıcıların finansal bilgileri açığa çıkmadı.
Nelnet'in baş müşaviri Bill Munn tarafından Maine eyaletine sunulan bir ihlal açıklama dosyasına göre, ihlal 1 Haziran 2022 ile 22 Temmuz 2022 arasında meydana geldi. Ancak etkilenen müşterilere gönderilen bir mektupta ihlalin 21 Temmuz'a kadar olduğu belirtiliyor. İhlal 17 Ağustos 2022'de keşfedildi.
“21 Temmuz 2022'de Nelnet Servicing, LLC (Nelnet), hizmet sistemimiz ve müşteri web sitemiz
Nelnet'e göre portal sağlayıcısı, bu olaya yol açtığına inandığımız bir güvenlik açığı keşfettiklerini bize bildirdi."
Güvenlik açığının ne olduğu belli değil.
Mektuba göre, "17 Ağustos 2022'de bu soruşturma, Haziran 2022'den başlayarak 22 Temmuz 2022'ye kadar belirli öğrenci kredisi hesap kayıt bilgilerine bilinmeyen bir tarafın erişebildiğini belirledi."
Kredi Alıcı Hedefleri
Tanium'daki uç nokta güvenliği araştırma uzmanı Melissa Bischoping, e-posta yoluyla yaptığı açıklamada, kullanıcıların en hassas finansal verilerinin korunmasına rağmen, Nelnet ihlalinde erişilen kişisel bilgilerin "gelecekteki sosyal mühendislik ve kimlik avı kampanyalarında kullanılma potansiyeline sahip" olduğunu açıkladı.
Bischoping, "Öğrenim kredisinin affına ilişkin son haberler nedeniyle, bu durumun dolandırıcılar tarafından suç faaliyetleri için bir geçit olarak kullanılmasını beklemek makul" dedi.
Geçtiğimiz hafta Biden yönetimi, düşük ve orta gelirli kredi alanlara yönelik 10.000 dolarlık öğrenci kredisi borcunu iptal etme planını duyurdu. Kredi bağışlama programının kurbanları kimlik avı e-postalarını açmaya ikna etmek için kullanılacağını söyledi.
Yakın zamanda ihlal edilen verilerin, öğrencileri ve yeni üniversite mezunlarını hedef alan kimlik avı kampanyaları dalgalarında etkilenen markaların kimliğine bürünmek için kullanılacağı konusunda uyarıyor.
"Mevcut iş ilişkilerinden gelen güveni artırabildikleri için özellikle aldatıcı olabilirler" diye yazdı.
İhlal açıklamasına göre Nelnet Servicing, Edfinancial ve OSLA'ya, Nelnet Servicing'in siber güvenlik ekibinin "bilgi sistemini güvence altına almak, şüpheli faaliyeti engellemek, sorunu düzeltmek için derhal harekete geçtiğini ve faaliyetin niteliğini ve kapsamını belirlemek için üçüncü taraf adli tıp uzmanlarıyla bir soruşturma başlattığını" bildirdi.
İyileştirme ayrıca iki yıllık ücretsiz kredi takibini, kredi raporlarını ve 1 milyon dolara kadar kimlik hırsızlığı sigortasını da içeriyordu.