文 | 零和

近期，黑市上出現(xiàn)一份數(shù)據(jù)，稱是“趣店學生用戶數(shù)據(jù)”。

該數(shù)據(jù)維度極細，除學生借款金額、滯納金等金融數(shù)據(jù)外，甚至還包孕學生父母電話、男女伴侶電話、學信網賬號密碼等隱私信息。

多位趣店離職員工證實，該數(shù)據(jù)確實來自趣店，并稱早期趣店存在巨大安適隱患，“很多員工都可導出數(shù)據(jù)，這極可能是內鬼外泄”。

但趣店并未正面回應此事，公關相關負責人稱：“趣店一直高度重視用戶個人信息安適，不停提高數(shù)據(jù)安適能力與信息加密強度?！?/p>

01 黑市叫賣，中介搶購

“本年上半年就有人開始叫賣，說是趣店的學生數(shù)據(jù)，可以分地區(qū)、分省份拆分購買”，年玄冰最早注意到這個消息，是在網貸中介群里。

網貸中介是網貸時代一個特殊的群體，他們熟知各家平臺的風控規(guī)則，并幫手貸款用戶包裝資料，下款后，再收取必然的辦事費。

這份數(shù)據(jù)，迅速引發(fā)中介們的興趣。

“原因是，這些大學生結業(yè)后，會從校園貸用戶釀成網貸用戶，這都是新鮮滾燙的網貸白戶，是非常重要的金礦”，年玄冰稱。

為了驗證數(shù)據(jù)真?zhèn)?，年玄冰要了幾份?shù)據(jù)樣本。

“我給名單上的學生打了電話，他們說確實在趣店上分期購買了商品，數(shù)據(jù)應該是真實的”，年玄冰稱。

“據(jù)說數(shù)據(jù)包孕百萬學生信息，叫賣價格近 10 萬”，年玄冰稱。

“北京、上海、江蘇，這 3 個地方的數(shù)據(jù)報價是 8000 元”，年玄冰稱，很多中介購買了數(shù)據(jù)，用于拓展客戶。

搶購風潮過后不久，監(jiān)管突然而至，數(shù)據(jù)買賣開始收斂。

6 月 1 日，國家網絡安適法實施，對于數(shù)據(jù)買賣有了嚴苛的規(guī)定，販賣個人信息 50 條就可獲罪。

“比來，賣數(shù)據(jù)的人低調了很多，不再公開叫賣，需要熟人介紹，才可交易”，年玄冰稱。

02 數(shù)據(jù)源頭，疑似內鬼

2016 年 7 月，專注校園貸的趣分期，頒布頒發(fā)升級為“趣店”。

此后兩個月，CEO羅敏再次頒布頒發(fā)，退出校園貸，將專注于非信用卡人群的消費金融業(yè)務。

而這份數(shù)據(jù)號稱來自“趣店用戶”，看起來應該是學生數(shù)據(jù)。

按照其公開資料顯示，趣分期此前已覆蓋了全國近 3000 萬大學生用戶。

泄露數(shù)據(jù)的維度極為細致，包孕姓名、電話、還款額、滯納金、逾期天數(shù)、學校、宿舍、結業(yè)時間等詳細信息。

一本財經記者對數(shù)據(jù)進行了抽樣核實，大多學生稱本身確實在趣分期有借款記錄，數(shù)據(jù)基本吻合。

而一些學生體現(xiàn)，本身曾接到過不少“你是否需要貸款”的電話。

“確實很奇怪，他們怎么知道我貸過款?”某學生也曾懷疑本身的數(shù)據(jù)外泄。

數(shù)據(jù)中還包孕地推拉客的BD聯(lián)系方式;在備注項中，還錄有大量學生父母的電話號碼。

而備注中，還有大量的隱私信息，好比學信網的賬號和密碼。

整份數(shù)據(jù)根據(jù)省份拆分為單獨文件，每份文件包羅數(shù)萬條數(shù)據(jù)，以江蘇省的數(shù)據(jù)為例，共錄入信息 51289 條。

“這份數(shù)據(jù)的價值比較大，有學生的金融借貸信息，就連家庭畫像也可以描繪出來”，，黑客CC稱。

這份數(shù)據(jù)是如何外泄的?

數(shù)據(jù)文件顯示的格式為CSV，CC分析稱：“這不像是黑客入侵拖出的數(shù)據(jù)包，更像是內部人員導出的數(shù)據(jù)”。

多位趣店的離職員工體現(xiàn)，早期趣店的數(shù)據(jù)辦理存在巨大的安適隱患，“很多人都可以導出用戶數(shù)據(jù)表格，數(shù)據(jù)一覽無余，沒有任何脫敏，級別越高，可導出的數(shù)據(jù)越多”。

“我也曾導出過一份數(shù)據(jù)，我簡單比對了一份外泄的數(shù)據(jù)，確實來自趣店”，離職員工陳怡然說。

“如果流到市面上的，是全國數(shù)據(jù)包，一般員工是沒有導出權限的，極有可能來自審計和催收兩個部門”，陳怡然稱。

為何這份數(shù)據(jù)會在本年流出?

去年 9 月，趣店CEO羅敏頒布頒發(fā)退出校園貸。

“轉型后，趣店不成制止大量裁員，線下團隊裁了近 2000 多全職BD人員，很多高層也被迫離開”，陳怡然稱，這輪裁員，很多人走得不滿，“原本大家都稱羅敏為羅大大，后來很多人都叫他羅大餅”。

“可能就是因為心懷怨恨，一些員工才會把數(shù)據(jù)拿出來銷售，出于某種抨擊心理”，陳怡然推測，也不能排除利益誘惑。

趣店跑得實在太快了，從零到一，再到上市估值過百億美金，只用了短短 3 年。

“急速奔跑的企業(yè)，可能會面臨辦理跟不上的情況，在后期發(fā)展中，可能會導致隱患發(fā)作”，陳怡然稱。

03 外泄之責，誰來承擔?

如果數(shù)據(jù)外泄，企業(yè)將遭受怎樣的懲罰?

最新的《網絡安適法》規(guī)定，數(shù)據(jù)外泄，企業(yè)難辭其咎——“網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息掩護制度。”

而未盡掩護義務的，將按照相關規(guī)定罰款警告，情節(jié)嚴重的則被責令暫停相關業(yè)務，停業(yè)整頓、關閉網站、吊銷相關業(yè)務許可證或者吊銷營銷執(zhí)照。

行業(yè)律師稱，如果導致用戶經濟損失，企業(yè)還要給予賠償。

11 月 17 日，一本財經向趣店核實此事，其公關負責人稱正在和內部人員溝通。

11 月 20 日，趣店并未對此事作出正面回應，公關負責人稱：“趣店一直高度重視用戶個人信息安適，不停提高數(shù)據(jù)安適能力與信息加密強度?！?/p>