最近,黑市上出现了一个名为“有趣的存储学生用户数据”的数据。
数据的维度很小,除了学生贷款金额、滞纳金等财务数据外,还包括学生家长的电话号码、男女电话号码、学信账号密码等私人信息。
多位趣店离职员工证实,该数据确实来自趣店,并称早期趣店存在巨大安全隐患,“很多员工都可导出数据,这极可能是内鬼外泄”。
但趣店并未正面回应此事,公关相关负责人称:“趣店一直高度重视用户个人信息安全,不断提高数据安全能力与信息加密强度。”
01黑市叫卖,中介抢购
“今年上半年就有人开始叫卖,说是趣店的学生数据,可以分地区、分省份拆分购买”,年玄冰最早注意到这个消息,是在网贷中介群里。
网贷中介是网贷时代一个特殊的群体,他们熟知各家平台的风控规则,并帮助贷款用户包装资料,下款后,再收取一定的服务费。
这份数据,迅速引发中介们的兴趣。
“原因是,这些大学生毕业后,会从校园贷用户变成网贷用户,这都是新鲜滚烫的网贷白户,是非常重要的金矿”,年玄冰称。
为了验证数据的真实性,NianXuanbing要求提供几个数据样本。
玄兵说:“我给名单上的学生打了电话,他们说他们确实在商店里按阶段购买了这些商品,数据应该是真实的。”
据说这些数据包含了数百万的学生信息,价格接近10万英镑。
“北京、上海、江苏,这3个地方的数据报价是8000元”,年玄冰称,很多中介购买了数据,用于拓展客户。
抢购风潮过后不久,,数据买卖开始收敛。
6月1日,“国家网络安全法”生效。对数据交易有严格的规定,50件个人信息可因销售个人信息而被定罪。
“最近,出售数据的人保持了很多低调,不再公开兜售。他们需要由熟人介绍才能交易,”年宣兵说。
02数据源头,疑似内鬼
2016年7月,专注校园贷的趣分期,宣布升级为“趣店”。
此后两个月,CEO罗敏再次宣布,退出校园贷,将专注于非信用卡人群的消费金融业务。
这些数据,声称来自有趣的商店用户,看起来像学生数据。
根据其公开资料显示,趣分期此前已覆盖了全国近3000万大学生用户。
泄露数据的维度非常详细,包括姓名、电话号码、还款金额、滞纳金、逾期天数、学校、宿舍、毕业时间等。
一位财经记者对数据进行了抽样验证,大部分学生说他们确实有分阶段的贷款记录,数据基本一致。
而一些学生表示,自己曾接到过不少“你是否需要贷款”的电话。
“真奇怪,他们怎么知道我借钱的?”一名学生还怀疑他的数据泄露了。
这些数据还包括用户的BD联系信息;笔记中还记录了大量学生家长的电话号码。
在说明中,有很多隐私信息,如学林的帐号和密码。
整个数据按省划分为单独的文件,每个文件包含数万个数据,以江苏省的数据为例,共输入了51289条信息。
哈克·CC说:“这些数据非常值钱,有了学生的经济贷款信息,甚至可以描绘出家庭的肖像。”
这些数据是怎么泄露出来的?
数据文件显示的格式为CSV,CC分析称:“这不像是黑客入侵拖出的数据包,更像是内部人员导出的数据”。
一些兴趣商店的员工表示,早期兴趣商店的数据管理存在巨大的安全风险。“很多人都可以导出用户数据表,没有脱敏,级别越高,输出的数据就越多。”
“我还导出了一个数据,我只是比较泄露的数据,真的从有趣的商店,说:”陈以然,一名前雇员。
“如果流到市面上的,是全国数据包,一般员工是没有导出权限的,极有可能来自审计和催收两个部门”,陈怡然称。
为何这份数据会在今年流出?
去年9月,首席执行官罗敏宣布退出校园贷款。
陈毅然说:“转型后,有趣的商店将不可避免地大量裁员。线下团队已经裁掉了近2000名全职BD员工,许多高管被迫离职。”许多人对这轮裁员不满意。“原来大家都叫罗民洛大,后来很多人都叫他罗大蛋糕。”
“可能是因为不满,一些员工会拿出这些数据,然后出于某种报复而卖掉它,”陈说。陈一然不能排除利益的诱惑。
有趣的商店跑得太快了,从零到一,再到上市估值超过100亿美元,在短短三年内。
“急速奔跑的企业,可能会面临管理跟不上的情况,在后期发展中,可能会导致隐患爆发”,陈怡然称。
03外泄之责,谁来承担?
如果数据泄露,企业将受到什么样的惩罚?
最新的“网络安全法”(NetworkSecurityLaw)规定,数据被泄露,企业无法为此承担责任。``
不履行保护义务的,依照有关规定处以罚款警告,情节严重的,暂停经营,停业整顿,关闭网站,吊销有关营业执照或者吊销营业执照。
行业律师表示,如果给用户造成经济损失,企业将不得不支付赔偿。
11月17日,一本财经向趣店核实此事,其公关负责人称正在和内部人员沟通。
11月20日,趣店并未对此事作出正面回应,公关负责人称:“趣店一直高度重视用户个人信息安全,不断提高数据安全能力与信息加密强度。”
(应受访者要求,本文人名均为化名)