Il database collegato a PrepHero ha rivelato i dati di 3 milioni di studenti e allenatori

Una falla nella sicurezza di PrepHero, una piattaforma di reclutamento universitario, ha reso pubblici milioni di dati non crittografati, tra cui dati personali sensibili e immagini dei passaporti di studenti-atleti.

Un'enorme quantità di informazioni personali appartenenti a oltre tre milioni di persone, tra cui giovani atleti in cerca di borse di studio universitarie e i loro allenatori, è stata recentemente trovata non protetta online. Il ricercatore di sicurezza informatica di vpnMentor, Jeremiah Fowler, ha scoperto questo database esposto e lo ha segnalato il 12 maggio 2025.

In base alle informazioni presenti nel database, apparteneva a un'azienda con sede a Chicago chiamata PrepHero, gestita da EXACT Sports. Per vostra informazione, PrepHero aiuta gli atleti delle scuole superiori a creare profili di reclutamento per i programmi sportivi universitari e facilita la comunicazione diretta tra atleti e allenatori di rinomate università, con l'obiettivo di ottenere borse di studio sportive.

Secondo l'indagine di Fowler, condivisa con Hackread.com, questo database conteneva la sbalorditiva cifra di 3.154.239 record (per un totale di circa 135 gigabyte) e non era protetto da password o da alcuna forma di crittografia.

I controlli iniziali di Fowler hanno rivelato informazioni sensibili sugli studenti-atleti, tra cui nomi, numeri di telefono, indirizzi email, indirizzi di casa e dati del passaporto. Il database conteneva anche i recapiti di genitori e allenatori, nonché file informatici non protetti con link alle immagini dei passaporti degli studenti-atleti.

A peggiorare ulteriormente la situazione, il database conteneva una cartella denominata "mail cache" contenente 10 gigabyte di messaggi e-mail risalenti al periodo compreso tra il 2017 e il 2025. La cartella conteneva link web personalizzati a pagine accessibili al pubblico contenenti nomi, date di nascita, indirizzi e-mail, indirizzi di casa e dettagli sui compensi.

Alcune email includevano anche password temporanee, con conseguenti ulteriori rischi per la privacy. Sono state trovate anche registrazioni audio di allenatori che dichiaravano i loro nomi, le università di provenienza e le valutazioni dei punti di forza e di debolezza degli studenti atleti.

Fowler ha prontamente comunicato la scoperta a PrepHero, che ha prontamente messo in sicurezza il database, impedendone l'ulteriore accesso pubblico. Sebbene i dati esposti siano stati collegati a PrepHero, non è ancora chiaro se questo database fosse gestito direttamente o se la gestione fosse affidata a una società esterna. Inoltre, non è chiaro per quanto tempo le informazioni sensibili siano state accessibili online prima della scoperta di Fowler, né se qualcun altro vi abbia avuto accesso.

Come evidenziato nel report di Check Point sul malware di aprile 2025, gli attacchi informatici al settore dell'istruzione continuano ad aumentare. Proprio la scorsa settimana, il gigante dell'edtech PowerSchool ha confermato di aver pagato un riscatto dopo un attacco ransomware del dicembre 2024 che ha esposto i dati personali di studenti e insegnanti.

Nel frattempo, nuovi report rivelano che il sito web ufficiale di iClicker, una piattaforma di coinvolgimento degli studenti ampiamente utilizzata, è stato hackerato in un attacco ClickFix. Avere un database esposto ai criminali informatici è peggio che lasciare la porta di casa spalancata: è un invito aperto con una posta in gioco molto più alta.

Fowler ha evidenziato i rischi per la privacy associati all'esposizione delle informazioni personali degli studenti atleti, poiché spesso sono giovani e privi di una storia creditizia consolidata, il che li rende vulnerabili al furto di identità . I ​​criminali potrebbero utilizzare questi dati per aprire account fraudolenti senza essere immediatamente scoperti. Le informazioni di contatto di studenti, genitori e allenatori potrebbero essere sfruttate per attacchi di phishing mirati e truffe, con gli allenatori a rischio anche di tentativi di spear-phishing.

Considerate queste ripercussioni, le persone associate a PrepHero o EXACT Sports devono prestare attenzione ai tentativi di phishing/ingegneria sociale, utilizzare sistemi di gestione dei contenuti sicuri con controlli di accesso, utilizzare l'autenticazione a più fattori per tutti gli account e crittografare i documenti sensibili per ridurre al minimo l'impatto di potenziali violazioni dei dati.

"L'invio di e-mail con link web univoci a sondaggi o l'apertura di pagine web contenenti informazioni personali identificabili (PII) dovrebbe essere limitato e accessibile solo tramite credenziali di accesso, per impedire accessi non autorizzati o accidentali", ha consigliato Fowler.