El 31 de agosto de 2022, Threatpost informó sobre una falla de seguridad en Nelnet Servicing que había expuesto la información personal de más de 2,5 millones de personas. Estos usuarios incluían clientes de OSLA y EdFinancial. La falla se descubrió el 21 de julio de 2022, con una investigación que confirmó el acceso a detalles del usuario como nombres, direcciones residenciales, direcciones de correo electrónico, números telefónicos y números de seguro social.
Al descubrir la vulnerabilidad, Nelnet Servicing inmediatamente aseguró el sistema de información, bloqueó actividad sospechosa, corrigió el problema e inició una investigación forense. El 17 de agosto de 2022 se determinó que un tercer hombre no autorizado había accedido a este dato sensible entre los días 1 y 22 de junio de 2022. Los usuarios afectados fueron notificados mediante cartas emitidas por Nelnet Servicing.
Melissa Bischoping, una especialista en seguridad de extremo de Tanium, destacó el potencial uso de esta falla en campañas de phishing futuras, especialmente dada la reciente noticia sobre programas de perdonar préstamos estudiantiles del gobierno. Los datos comprometidos podrían ser aprovechados por ciberdelincuentes para imitar negocios legítimos y engañar a las víctimas para que abran correos electrónicos maliciosos o hagan clic en enlaces fraudulentos.
Como resultado del incidente, Nelnet Servicing ofreció dos años de monitoreo crediticio gratuito e hasta un millón de dólares en seguros contra el robo de identidad a los usuarios afectados.