您的位置:首页?网络安全?正文

趣店数据疑似外泄,十万可买百万学生信息,离职员工称“内鬼”所为

文| 零和

近期, 黑市上出现一份数据, 称是“趣店学生用户数据”。

该数据维度极细, 除学生借款金额、滞纳金等金融数据外, 甚至还包括学生父母电话、男女朋友电话、学信网账号密码等隐私信息。

多位趣店离职员工证实, 该数据确实来自趣店, 并称早期趣店存在巨大安全隐患,

“很多员工都可导出数据, 这极可能是内鬼外泄”。

但趣店并未正面回应此事, 公关相关负责人称:“趣店一直高度重视用户个人信息安全, 不断提高数据安全能力与信息加密强度。 ”

01黑市叫卖, 中介抢购

“今年上半年就有人开始叫卖, 说是趣店的学生数据, 可以分地区、分省份拆分购买”, 年玄冰最早注意到这个消息, 是在网贷中介群里。

网贷中介是网贷时代一个特殊的群体, 他们熟知各家平台的风控规则, 并帮助贷款用户包装资料, 下款后, 再收取一定的服务费。

这份数据, 迅速引发中介们的兴趣。

“原因是, 这些大学生毕业后, 会从校园贷用户变成网贷用户, 这都是新鲜滚烫的网贷白户, 是非常重要的金矿”, 年玄冰称。

为了验证数据真伪, 年玄冰要了几份数据样本。

“我给名单上的学生打了电话, 他们说确实在趣店上分期购买了商品,

数据应该是真实的”, 年玄冰称。

“据说数据包括百万学生信息, 叫卖价格近10万”, 年玄冰称。

“北京、上海、江苏, 这3个地方的数据报价是8000元”, 年玄冰称, 很多中介购买了数据, 用于拓展客户。

抢购风潮过后不久, 监管突然而至, 数据买卖开始收敛。

6月1日, 国家网络安全法实施, 对于数据买卖有了严苛的规定, 贩卖个人信息50条就可获罪。

“最近, 卖数据的人低调了很多, 不再公开叫卖, 需要熟人介绍, 才可交易”, 年玄冰称。

02数据源头, 疑似内鬼

2016年7月, 专注校园贷的趣分期, 宣布升级为“趣店”。

此后两个月, CEO罗敏再次宣布, 退出校园贷, 将专注于非信用卡人群的消费金融业务。

而这份数据号称来自“趣店用户”, 看起来应该是学生数据。

根据其公开资料显示, 趣分期此前已覆盖了全国近3000万大学生用户。

泄露数据的维度极为细致, 包括姓名、电话、还款额、滞纳金、逾期天数、学校、宿舍、毕业时间等详细信息。

一本财经记者对数据进行了抽样核实, 大多学生称自己确实在趣分期有借款记录, 数据基本吻合。

而一些学生表示, 自己曾接到过不少“你是否需要贷款”的电话。

“确实很奇怪, 他们怎么知道我贷过款?”某学生也曾怀疑自己的数据外泄。

数据中还包括地推拉客的BD联系方式;在备注项中, 还录有大量学生父母的电话号码。

而备注中, 还有大量的隐私信息, 比如学信网的账号和密码。

整份数据按照省份拆分为单独文件, 每份文件包含数万条数据, 以江苏省的数据为例, 共录入信息51289条。

“这份数据的价值比较大, 有学生的金融借贷信息, 就连家庭画像也可以描绘出来”, 黑客CC称。

这份数据是如何外泄的?

数据文件显示的格式为CSV, CC分析称:“这不像是黑客入侵拖出的数据包, 更像是内部人员导出的数据”。

多位趣店的离职员工表示, 早期趣店的数据管理存在巨大的安全隐患,

“很多人都可以导出用户数据表格, 数据一览无余, 没有任何脱敏, 级别越高, 可导出的数据越多”。

“我也曾导出过一份数据, 我简单比对了一份外泄的数据, 确实来自趣店”, 离职员工陈怡然说。

“如果流到市面上的, 是全国数据包, 一般员工是没有导出权限的, 极有可能来自审计和催收两个部门”, 陈怡然称。

为何这份数据会在今年流出?

去年9月, 趣店CEO罗敏宣布退出校园贷。

“转型后, 趣店不可避免大量裁员, 线下团队裁了近2000多全职BD人员, 很多高层也被迫离开”, 陈怡然称, 这轮裁员, 很多人走得不满, “原本大家都称罗敏为罗大大, 后来很多人都叫他罗大饼”。

“可能就是因为心怀怨恨, 一些员工才会把数据拿出来销售, 出于某种报复心理”, 陈怡然推测, 也不能排除利益诱惑。

趣店跑得实在太快了, 从零到一, 再到上市估值过百亿美金,

只用了短短3年。

“急速奔跑的企业, 可能会面临管理跟不上的情况, 在后期发展中, 可能会导致隐患爆发”, 陈怡然称。

03外泄之责, 谁来承担?

如果数据外泄, 企业将遭受怎样的惩罚?

最新的《网络安全法》规定, 数据外泄, 企业难辞其咎——“网络运营者应当对其收集的用户信息严格保密, 并建立健全用户信息保护制度。 ”

而未尽保护义务的, 将根据相关规定罚款警告, 情节严重的则被责令暂停相关业务, 停业整顿、关闭网站、吊销相关业务许可证或者吊销营销执照。

行业律师称, 如果导致用户经济损失, 企业还要给予补偿。

11月17日, 一本财经向趣店核实此事, 其公关负责人称正在和内部人员沟通。

11月20日, 趣店并未对此事作出正面回应, 公关负责人称:“趣店一直高度重视用户个人信息安全, 不断提高数据安全能力与信息加密强度。 ”

(应受访者要求, 本文人名均为化名)