您的位置:首頁»網絡安全»正文

趣店數據疑似外泄,十萬可買百萬學生信息,離職員工稱“內鬼”所為

文| 零和

近期, 黑市上出現一份數據, 稱是“趣店學生用戶數據”。

該數據維度極細, 除學生借款金額、滯納金等金融數據外, 甚至還包括學生父母電話、男女朋友電話、學信網賬號密碼等隱私信息。

多位趣店離職員工證實, 該數據確實來自趣店, 并稱早期趣店存在巨大安全隱患,

“很多員工都可導出數據, 這極可能是內鬼外泄”。

但趣店并未正面回應此事, 公關相關負責人稱:“趣店一直高度重視用戶個人信息安全, 不斷提高數據安全能力與信息加密強度。 ”

01黑市叫賣, 中介搶購

“今年上半年就有人開始叫賣, 說是趣店的學生數據, 可以分地區、分省份拆分購買”, 年玄冰最早注意到這個消息, 是在網貸中介群里。

網貸中介是網貸時代一個特殊的群體, 他們熟知各家平臺的風控規則, 并幫助貸款用戶包裝資料, 下款后, 再收取一定的服務費。

這份數據, 迅速引發中介們的興趣。

“原因是, 這些大學生畢業后, 會從校園貸用戶變成網貸用戶, 這都是新鮮滾燙的網貸白戶, 是非常重要的金礦”, 年玄冰稱。

為了驗證數據真偽, 年玄冰要了幾份數據樣本。

“我給名單上的學生打了電話, 他們說確實在趣店上分期購買了商品,

數據應該是真實的”, 年玄冰稱。

“據說數據包括百萬學生信息, 叫賣價格近10萬”, 年玄冰稱。

“北京、上海、江蘇, 這3個地方的數據報價是8000元”, 年玄冰稱, 很多中介購買了數據, 用于拓展客戶。

搶購風潮過后不久, 監管突然而至, 數據買賣開始收斂。

6月1日, 國家網絡安全法實施, 對于數據買賣有了嚴苛的規定, 販賣個人信息50條就可獲罪。

“最近, 賣數據的人低調了很多, 不再公開叫賣, 需要熟人介紹, 才可交易”, 年玄冰稱。

02數據源頭, 疑似內鬼

2016年7月, 專注校園貸的趣分期, 宣布升級為“趣店”。

此后兩個月, CEO羅敏再次宣布, 退出校園貸, 將專注于非信用卡人群的消費金融業務。

而這份數據號稱來自“趣店用戶”, 看起來應該是學生數據。

根據其公開資料顯示, 趣分期此前已覆蓋了全國近3000萬大學生用戶。

泄露數據的維度極為細致, 包括姓名、電話、還款額、滯納金、逾期天數、學校、宿舍、畢業時間等詳細信息。

一本財經記者對數據進行了抽樣核實, 大多學生稱自己確實在趣分期有借款記錄, 數據基本吻合。

而一些學生表示, 自己曾接到過不少“你是否需要貸款”的電話。

“確實很奇怪, 他們怎么知道我貸過款?”某學生也曾懷疑自己的數據外泄。

數據中還包括地推拉客的BD聯系方式;在備注項中, 還錄有大量學生父母的電話號碼。

而備注中, 還有大量的隱私信息, 比如學信網的賬號和密碼。

整份數據按照省份拆分為單獨文件, 每份文件包含數萬條數據, 以江蘇省的數據為例, 共錄入信息51289條。

“這份數據的價值比較大, 有學生的金融借貸信息, 就連家庭畫像也可以描繪出來”, 黑客CC稱。

這份數據是如何外泄的?

數據文件顯示的格式為CSV, CC分析稱:“這不像是黑客入侵拖出的數據包, 更像是內部人員導出的數據”。

多位趣店的離職員工表示, 早期趣店的數據管理存在巨大的安全隱患,

“很多人都可以導出用戶數據表格, 數據一覽無余, 沒有任何脫敏, 級別越高, 可導出的數據越多”。

“我也曾導出過一份數據, 我簡單比對了一份外泄的數據, 確實來自趣店”, 離職員工陳怡然說。

“如果流到市面上的, 是全國數據包, 一般員工是沒有導出權限的, 極有可能來自審計和催收兩個部門”, 陳怡然稱。

為何這份數據會在今年流出?

去年9月, 趣店CEO羅敏宣布退出校園貸。

“轉型后, 趣店不可避免大量裁員, 線下團隊裁了近2000多全職BD人員, 很多高層也被迫離開”, 陳怡然稱, 這輪裁員, 很多人走得不滿, “原本大家都稱羅敏為羅大大, 后來很多人都叫他羅大餅”。

“可能就是因為心懷怨恨, 一些員工才會把數據拿出來銷售, 出于某種報復心理”, 陳怡然推測, 也不能排除利益誘惑。

趣店跑得實在太快了, 從零到一, 再到上市估值過百億美金,

只用了短短3年。

“急速奔跑的企業, 可能會面臨管理跟不上的情況, 在后期發展中, 可能會導致隱患爆發”, 陳怡然稱。

03外泄之責, 誰來承擔?

如果數據外泄, 企業將遭受怎樣的懲罰?

最新的《網絡安全法》規定, 數據外泄, 企業難辭其咎——“網絡運營者應當對其收集的用戶信息嚴格保密, 并建立健全用戶信息保護制度。 ”

而未盡保護義務的, 將根據相關規定罰款警告, 情節嚴重的則被責令暫停相關業務, 停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營銷執照。

行業律師稱, 如果導致用戶經濟損失, 企業還要給予補償。

11月17日, 一本財經向趣店核實此事, 其公關負責人稱正在和內部人員溝通。

11月20日, 趣店并未對此事作出正面回應, 公關負責人稱:“趣店一直高度重視用戶個人信息安全, 不斷提高數據安全能力與信息加密強度。 ”

(應受訪者要求, 本文人名均為化名)