Threatpostは8月31日(米国時間)、「Student Loan Breach Exposes 2.5M Records|Threatpost」において、学生ローンを運営している団体のシステムが不正にアクセスされ、ローン利用者の個人データが漏洩したことを伝えた。米国で学生ローンを手掛けている金融会社のEdFinancialおよびオクラホマ州学生ローン機構(OSLA: Oklahoma Student Loan Authority)が250万人以上のローン利用者に対し、データ漏洩による個人データが流出したことを通知したことで明らかとなった。
個人情報が窃取されたのは、EdFinancialやオクラホマ州学生ローン機構のサービシングシステムおよびWebポータルを提供しているネブラスカ州リンカーンに本社を置くNelnet Servicingであることがわかった。Nelnetが2022年7月21日(米国時間)、影響を受ける学生ローン受領者に対して書簡を送り、情報が漏洩したという事実を明らかにしたとのことだ。
書簡では、Nelnetのサイバーセキュリティチームが情報システムの安全確保や不審な活動のブロックなど問題を解決するために即座に取り組んだとしており、外部のフォレンジック専門家とともに調査を開始して攻撃の性質と範囲を決定したと報告している。
2022年8月17日までに調査した結果、流出した情報には学生ローンの口座保有者の合計251万1324人分の氏名、自宅住所、電子メールアドレス、電話番号、社会保障番号などが含まれていたという。なお、利用者の財務情報は流出していないとされている。
現在のところ、不正アクセスに悪用された脆弱性が何であったかは不明とされている。セキュリティ専門家は、最も機密性の高いとされる財務データは保護されたが、Nelnetの侵害で流出した個人情報が今後のソーシャルエンジニアリングやフィッシングキャンペーンで悪用される可能性が高いと指摘。学生や新卒者をターゲットにしたキャンペーンでの悪用の可能性があると警告している。