趣店数据疑外泄！10万可买百万学生信息 前员工称“内鬼”

最近，黑市上出现了一个名为“有趣的存储学生用户数据”的数据。

数据的维度很小，除了学生贷款金额、滞纳金等财务数据外，还包括学生家长的电话号码、男女电话号码、学信账号密码等私人信息。

多位趣店离职员工证实，该数据确实来自趣店，并称早期趣店存在巨大安全隐患，“很多员工都可导出数据，这极可能是内鬼外泄”。

但趣店并未正面回应此事，公关相关负责人称：“趣店一直高度重视用户个人信息安全，不断提高数据安全能力与信息加密强度。”

01黑市叫卖，中介抢购

“今年上半年就有人开始叫卖，说是趣店的学生数据，可以分地区、分省份拆分购买”，年玄冰最早注意到这个消息，是在网贷中介群里。

网贷中介是网贷时代一个特殊的群体，他们熟知各家平台的风控规则，并帮助贷款用户包装资料，下款后，再收取一定的服务费。

这份数据，迅速引发中介们的兴趣。

“原因是，这些大学生毕业后，会从校园贷用户变成网贷用户，这都是新鲜滚烫的网贷白户，是非常重要的金矿”，年玄冰称。

为了验证数据的真实性，NianXuanbing要求提供几个数据样本。

玄兵说：“我给名单上的学生打了电话，他们说他们确实在商店里按阶段购买了这些商品，数据应该是真实的。”

据说这些数据包含了数百万的学生信息，价格接近10万英镑。

“北京、上海、江苏，这3个地方的数据报价是8000元”，年玄冰称，很多中介购买了数据，用于拓展客户。

抢购风潮过后不久，，数据买卖开始收敛。

6月1日，“国家网络安全法”生效。对数据交易有严格的规定，50件个人信息可因销售个人信息而被定罪。

“最近，出售数据的人保持了很多低调，不再公开兜售。他们需要由熟人介绍才能交易，”年宣兵说。

02数据源头，疑似内鬼

2016年7月，专注校园贷的趣分期，宣布升级为“趣店”。

此后两个月，CEO罗敏再次宣布，退出校园贷，将专注于非信用卡人群的消费金融业务。

这些数据，声称来自有趣的商店用户，看起来像学生数据。

根据其公开资料显示，趣分期此前已覆盖了全国近3000万大学生用户。

泄露数据的维度非常详细，包括姓名、电话号码、还款金额、滞纳金、逾期天数、学校、宿舍、毕业时间等。

一位财经记者对数据进行了抽样验证，大部分学生说他们确实有分阶段的贷款记录，数据基本一致。

而一些学生表示，自己曾接到过不少“你是否需要贷款”的电话。

“真奇怪，他们怎么知道我借钱的？”一名学生还怀疑他的数据泄露了。

这些数据还包括用户的BD联系信息；笔记中还记录了大量学生家长的电话号码。

在说明中，有很多隐私信息，如学林的帐号和密码。

整个数据按省划分为单独的文件，每个文件包含数万个数据，以江苏省的数据为例，共输入了51289条信息。

哈克·CC说：“这些数据非常值钱，有了学生的经济贷款信息，甚至可以描绘出家庭的肖像。”

这些数据是怎么泄露出来的？

数据文件显示的格式为CSV，CC分析称：“这不像是黑客入侵拖出的数据包，更像是内部人员导出的数据”。

一些兴趣商店的员工表示，早期兴趣商店的数据管理存在巨大的安全风险。“很多人都可以导出用户数据表，没有脱敏，级别越高，输出的数据就越多。”

“我还导出了一个数据，我只是比较泄露的数据，真的从有趣的商店，说：”陈以然，一名前雇员。

“如果流到市面上的，是全国数据包，一般员工是没有导出权限的，极有可能来自审计和催收两个部门”，陈怡然称。

为何这份数据会在今年流出?

去年9月，首席执行官罗敏宣布退出校园贷款。

陈毅然说：“转型后，有趣的商店将不可避免地大量裁员。线下团队已经裁掉了近2000名全职BD员工，许多高管被迫离职。”许多人对这轮裁员不满意。“原来大家都叫罗民洛大，后来很多人都叫他罗大蛋糕。”

“可能是因为不满，一些员工会拿出这些数据，然后出于某种报复而卖掉它，”陈说。陈一然不能排除利益的诱惑。

有趣的商店跑得太快了，从零到一，再到上市估值超过100亿美元，在短短三年内。

“急速奔跑的企业，可能会面临管理跟不上的情况，在后期发展中，可能会导致隐患爆发”，陈怡然称。

03外泄之责，谁来承担?

如果数据泄露，企业将受到什么样的惩罚？

最新的“网络安全法”(NetworkSecurityLaw)规定，数据被泄露，企业无法为此承担责任。``

不履行保护义务的，依照有关规定处以罚款警告，情节严重的，暂停经营，停业整顿，关闭网站，吊销有关营业执照或者吊销营业执照。

行业律师表示，如果给用户造成经济损失，企业将不得不支付赔偿。

11月17日，一本财经向趣店核实此事，其公关负责人称正在和内部人员沟通。

11月20日，趣店并未对此事作出正面回应，公关负责人称：“趣店一直高度重视用户个人信息安全，不断提高数据安全能力与信息加密强度。”

(应受访者要求，本文人名均为化名)