趣店數據疑似外泄,十萬可買百萬學生信息,離職員工稱“內鬼”所為

文| 零和

近期,黑市上出現一份數據,稱是“趣店學生用戶數據”。

該數據維度極細,除學生借款金額、滯納金等金融數據外,甚至還包括學生父母電話、男女朋友電話、學信網賬號密碼等隱私信息。

多位趣店離職員工證實,該數據確實來自趣店,并稱早期趣店存在巨大安全隱患,“很多員工都可導出數據,這極可能是內鬼外泄”。

但趣店并未正面回應此事,公關相關負責人稱:“趣店一直高度重視用戶個人信息安全,不斷提高數據安全能力與信息加密強度。”

01黑市叫賣,中介搶購

“今年上半年就有人開始叫賣,說是趣店的學生數據,可以分地區、分省份拆分購買”,年玄冰最早注意到這個消息,是在網貸中介群里。

網貸中介是網貸時代一個特殊的群體,他們熟知各家平臺的風控規則,并幫助貸款用戶包裝資料,下款后,再收取一定的服務費。

這份數據,迅速引發中介們的興趣。

“原因是,這些大學生畢業后,會從校園貸用戶變成網貸用戶,這都是新鮮滾燙的網貸白戶,是非常重要的金礦”,年玄冰稱。

為了驗證數據真偽,年玄冰要了幾份數據樣本。

“我給名單上的學生打了電話,他們說確實在趣店上分期購買了商品,數據應該是真實的”,年玄冰稱。

“據說數據包括百萬學生信息,叫賣價格近10萬”,年玄冰稱。

“北京、上海、江蘇,這3個地方的數據報價是8000元”,年玄冰稱,很多中介購買了數據,用于拓展客戶。

搶購風潮過后不久,監管突然而至,數據買賣開始收斂。

6月1日,國家網絡安全法實施,對于數據買賣有了嚴苛的規定,販賣個人信息50條就可獲罪。

“最近,賣數據的人低調了很多,不再公開叫賣,需要熟人介紹,才可交易”,年玄冰稱。

02數據源頭,疑似內鬼

2016年7月,專注校園貸的趣分期,宣布升級為“趣店”。

此后兩個月,CEO羅敏再次宣布,退出校園貸,將專注于非信用卡人群的消費金融業務。

而這份數據號稱來自“趣店用戶”,看起來應該是學生數據。

根據其公開資料顯示,趣分期此前已覆蓋了全國近3000萬大學生用戶。

泄露數據的維度極為細致,包括姓名、電話、還款額、滯納金、逾期天數、學校、宿舍、畢業時間等詳細信息。

一本財經記者對數據進行了抽樣核實,大多學生稱自己確實在趣分期有借款記錄,數據基本吻合。

而一些學生表示,自己曾接到過不少“你是否需要貸款”的電話。

“確實很奇怪,他們怎么知道我貸過款?”某學生也曾懷疑自己的數據外泄。

數據中還包括地推拉客的BD聯系方式;在備注項中,還錄有大量學生父母的電話號碼。

而備注中,還有大量的隱私信息,比如學信網的賬號和密碼。

整份數據按照省份拆分為單獨文件,每份文件包含數萬條數據,以江蘇省的數據為例,共錄入信息51289條。

“這份數據的價值比較大,有學生的金融借貸信息,就連家庭畫像也可以描繪出來”,黑客CC稱。

這份數據是如何外泄的?

數據文件顯示的格式為CSV,CC分析稱:“這不像是黑客入侵拖出的數據包,更像是內部人員導出的數據”。

多位趣店的離職員工表示,早期趣店的數據管理存在巨大的安全隱患,“很多人都可以導出用戶數據表格,數據一覽無余,沒有任何脫敏,級別越高,可導出的數據越多”。

“我也曾導出過一份數據,我簡單比對了一份外泄的數據,確實來自趣店”,離職員工陳怡然說。

“如果流到市面上的,是全國數據包,一般員工是沒有導出權限的,極有可能來自審計和催收兩個部門”,陳怡然稱。

為何這份數據會在今年流出?

去年9月,趣店CEO羅敏宣布退出校園貸。

“轉型后,趣店不可避免大量裁員,線下團隊裁了近2000多全職BD人員,很多高層也被迫離開”,陳怡然稱,這輪裁員,很多人走得不滿,“原本大家都稱羅敏為羅大大,后來很多人都叫他羅大餅”。

“可能就是因為心懷怨恨,一些員工才會把數據拿出來銷售,出于某種報復心理”,陳怡然推測,也不能排除利益誘惑。

趣店跑得實在太快了,從零到一,再到上市估值過百億美金,只用了短短3年。

“急速奔跑的企業,可能會面臨管理跟不上的情況,在后期發展中,可能會導致隱患爆發”,陳怡然稱。

03外泄之責,誰來承擔?

如果數據外泄,企業將遭受怎樣的懲罰?

最新的《網絡安全法》規定,數據外泄,企業難辭其咎——“網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。”

而未盡保護義務的,將根據相關規定罰款警告,情節嚴重的則被責令暫停相關業務,停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營銷執照。

行業律師稱,如果導致用戶經濟損失,企業還要給予補償。

11月17日,一本財經向趣店核實此事,其公關負責人稱正在和內部人員溝通。

11月20日,趣店并未對此事作出正面回應,公關負責人稱:“趣店一直高度重視用戶個人信息安全,不斷提高數據安全能力與信息加密強度。”

(應受訪者要求,本文人名均為化名)

您可能感兴趣的文章