趣店數(shù)據(jù)疑似外泄，十萬可買百萬學生信息

　　趣店數(shù)據(jù)疑似外泄，十萬可買百萬學生信息。近期，黑市上出現(xiàn)一份數(shù)據(jù)，稱是“趣店學生用戶數(shù)據(jù)”。該數(shù)據(jù)維度極細，除學生借款金額、滯納金等金融數(shù)據(jù)外，甚至還包括學生父母電話、男女朋友電話、學信網(wǎng)賬號密碼等隱私信息。

　　多位趣店離職員工證實，該數(shù)據(jù)確實來自趣店，并稱早期趣店存在巨大安全隱患，“很多員工都可導出數(shù)據(jù)，這極可能是內(nèi)鬼外泄”。

　　但趣店并未正面回應此事，公關(guān)相關(guān)負責人稱：“趣店一直高度重視用戶個人信息安全，不斷提高數(shù)據(jù)安全能力與信息加密強度?！?/p>

　　01 黑市叫賣，中介搶購

　　“今年上半年就有人開始叫賣，說是趣店的學生數(shù)據(jù)，可以分地區(qū)、分省份拆分購買”，年玄冰最早注意到這個消息，是在網(wǎng)貸中介群里。

　　網(wǎng)貸中介是網(wǎng)貸時代一個特殊的群體，他們熟知各家平臺的風控規(guī)則，并幫助貸款用戶包裝資料，下款后，再收取一定的服務費。

　　這份數(shù)據(jù)，迅速引發(fā)中介們的興趣。

　　“原因是，這些大學生畢業(yè)后，會從校園貸用戶變成網(wǎng)貸用戶，這都是新鮮滾燙的網(wǎng)貸白戶，是非常重要的金礦”，年玄冰稱。

　　為了驗證數(shù)據(jù)真?zhèn)?，年玄冰要了幾份?shù)據(jù)樣本。

　　“我給名單上的學生打了電話，他們說確實在趣店上分期購買了商品，數(shù)據(jù)應該是真實的”，年玄冰稱。

　　“據(jù)說數(shù)據(jù)包括百萬學生信息，叫賣價格近 10 萬”，年玄冰稱。

　　“北京、上海、江蘇，這 3 個地方的數(shù)據(jù)報價是 8000 元”，年玄冰稱，很多中介購買了數(shù)據(jù)，用于拓展客戶。

　　搶購風潮過后不久，監(jiān)管突然而至，數(shù)據(jù)買賣開始收斂。

　　6 月 1 日，國家網(wǎng)絡安全法實施，對于數(shù)據(jù)買賣有了嚴苛的規(guī)定，販賣個人信息 50 條就可獲罪。

　　“最近，賣數(shù)據(jù)的人低調(diào)了很多，不再公開叫賣，需要熟人介紹，才可交易”，年玄冰稱。

　　02 數(shù)據(jù)源頭，疑似內(nèi)鬼

　　2016 年 7 月，專注校園貸的趣分期，宣布升級為“趣店”。

　　此后兩個月，CEO羅敏再次宣布，退出校園貸，將專注于非信用卡人群的消費金融業(yè)務。

　　而這份數(shù)據(jù)號稱來自“趣店用戶”，看起來應該是學生數(shù)據(jù)。

　　根據(jù)其公開資料顯示，趣分期此前已覆蓋了全國近 3000 萬大學生用戶。

　　泄露數(shù)據(jù)的維度極為細致，包括姓名、電話、還款額、滯納金、逾期天數(shù)、學校、宿舍、畢業(yè)時間等詳細信息。

　　一本財經(jīng)記者對數(shù)據(jù)進行了抽樣核實，大多學生稱自己確實在趣分期有借款記錄，數(shù)據(jù)基本吻合。

　　而一些學生表示，自己曾接到過不少“你是否需要貸款”的電話。

　　“確實很奇怪，他們怎么知道我貸過款?”某學生也曾懷疑自己的數(shù)據(jù)外泄。

　　數(shù)據(jù)中還包括地推拉客的BD聯(lián)系方式;在備注項中，還錄有大量學生父母的電話號碼。

　　而備注中，還有大量的隱私信息，比如學信網(wǎng)的賬號和密碼。

　　整份數(shù)據(jù)按照省份拆分為單獨文件，每份文件包含數(shù)萬條數(shù)據(jù)，以江蘇省的數(shù)據(jù)為例，共錄入信息 51289 條。

　　“這份數(shù)據(jù)的價值比較大，有學生的金融借貸信息，就連家庭畫像也可以描繪出來”，黑客CC稱。

　　這份數(shù)據(jù)是如何外泄的？

　　數(shù)據(jù)文件顯示的格式為CSV，CC分析稱：“這不像是黑客入侵拖出的數(shù)據(jù)包，更像是內(nèi)部人員導出的數(shù)據(jù)”。

　　多位趣店的離職員工表示，早期趣店的數(shù)據(jù)管理存在巨大的安全隱患，“很多人都可以導出用戶數(shù)據(jù)表格，數(shù)據(jù)一覽無余，沒有任何脫敏，級別越高，可導出的數(shù)據(jù)越多”。

　　“我也曾導出過一份數(shù)據(jù)，我簡單比對了一份外泄的數(shù)據(jù)，確實來自趣店”，離職員工陳怡然說。

　　“如果流到市面上的，是全國數(shù)據(jù)包，一般員工是沒有導出權(quán)限的，極有可能來自審計和催收兩個部門”，陳怡然稱。

　　為何這份數(shù)據(jù)會在今年流出？

　　去年 9 月，趣店CEO羅敏宣布退出校園貸。

　　“轉(zhuǎn)型后，趣店不可避免大量裁員，線下團隊裁了近 2000 多全職BD人員，很多高層也被迫離開”，陳怡然稱，這輪裁員，很多人走得不滿，“原本大家都稱羅敏為羅大大，后來很多人都叫他羅大餅”。

　　“可能就是因為心懷怨恨，一些員工才會把數(shù)據(jù)拿出來銷售，出于某種報復心理”，陳怡然推測，也不能排除利益誘惑。

　　趣店跑得實在太快了，從零到一，再到上市估值過百億美金，只用了短短 3 年。

　　“急速奔跑的企業(yè)，可能會面臨管理跟不上的情況，在后期發(fā)展中，可能會導致隱患爆發(fā)”，陳怡然稱。

　　03 外泄之責，誰來承擔？

　　如果數(shù)據(jù)外泄，企業(yè)將遭受怎樣的懲罰？

　　最新的《網(wǎng)絡安全法》規(guī)定，數(shù)據(jù)外泄，企業(yè)難辭其咎——“網(wǎng)絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度?！?/p>

　　而未盡保護義務的，將根據(jù)相關(guān)規(guī)定罰款警告，情節(jié)嚴重的則被責令暫停相關(guān)業(yè)務，停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務許可證或者吊銷營銷執(zhí)照。

　　行業(yè)律師稱，如果導致用戶經(jīng)濟損失，企業(yè)還要給予補償。

　　11 月 17 日，一本財經(jīng)向趣店核實此事，其公關(guān)負責人稱正在和內(nèi)部人員溝通。

　　11 月 20 日，趣店并未對此事作出正面回應，公關(guān)負責人稱：“趣店一直高度重視用戶個人信息安全，不斷提高數(shù)據(jù)安全能力與信息加密強度?！?/p>