PrepHero Bağlantılı Veritabanı 3 Milyon Öğrenci ve Antrenörün Verilerini Açığa Çıkardı

Üniversite kayıt platformu PrepHero'daki bir güvenlik açığı, öğrenci sporcuların hassas kişisel bilgileri ve pasaport görüntüleri de dahil olmak üzere milyonlarca şifrelenmemiş kaydın ifşa olmasına neden oldu.

Üniversite bursu umudu taşıyan genç sporcular ve antrenörleri de dahil olmak üzere üç milyondan fazla kişiye ait çok miktarda kişisel bilgi, yakın zamanda çevrimiçi ortamda korumasız halde bulundu. vpnMentor'un siber güvenlik araştırmacısı Jeremiah Fowler, bu ifşa edilmiş veritabanını keşfetti ve 12 Mayıs 2025'te bildirdi.

Veritabanındaki bilgilere göre, EXACT Sports tarafından işletilen Chicago merkezli PrepHero adlı bir şirkete aitti. Bilginize, PrepHero lise sporcularının üniversite spor programları için işe alım profilleri oluşturmalarına yardımcı olur ve tanınmış üniversitelerdeki sporcular ile koçlar arasında doğrudan iletişimi kolaylaştırarak spor bursları sağlamayı hedefler.

Fowler'ın Hackread.com ile paylaştığı araştırmaya göre, bu veritabanında tam 3.154.239 kayıt (toplamda yaklaşık 135 gigabayt) bulunuyordu ve bir parola veya herhangi bir şifreleme türüyle güvence altına alınmamıştı.

Fowler'ın ilk kontrolleri, öğrenci sporcular hakkında isimler, telefon numaraları, e-posta adresleri, ev adresleri ve pasaport bilgileri gibi hassas bilgileri ortaya çıkardı. Veritabanında ayrıca ebeveynler ve koçlar için iletişim bilgileri ve öğrenci sporcuların pasaport görüntü bağlantılarını içeren korumasız bilgisayar dosyaları da vardı.

Maruziyetin ciddiyetine ek olarak, veritabanında 2017'den 2025'e kadar uzanan 10 gigabayt e-posta mesajı tutan "posta önbelleği" etiketli bir klasör bulunuyordu. Klasörde adları, doğum tarihlerini, e-posta adreslerini, ev adreslerini ve tazminat ayrıntılarını görüntüleyen herkese açık sayfalara kişiselleştirilmiş web bağlantıları bulunuyordu.

Bazı e-postalarda ayrıca geçici parolalar da vardı ve bu da daha fazla gizlilik riski oluşturuyordu. Koçların isimlerini, kolejlerini ve öğrenci sporcuların güçlü ve zayıf yönlerini değerlendirdikleri ses kayıtları da bulundu.

Fowler bu keşfi derhal PrepHero'ya bildirdi ve PrepHero da veritabanını hızla güvence altına alarak daha fazla kamu erişimini engelledi. Açığa çıkan kayıtlar PrepHero ile ilişkilendirilmiş olsa da, bu veritabanının doğrudan yönetilip yönetilmediği veya yönetiminden harici bir şirketin sorumlu olup olmadığı henüz net değil. Ayrıca, hassas bilgilerin Fowler'ın keşfinden önce çevrimiçi olarak ne kadar süre erişilebilir olduğu veya başka birinin erişip erişemediği de belirsiz.

Check Point'in Nisan 2025 kötü amaçlı yazılım raporunda belirtildiği gibi, eğitim sektörüne yönelik siber saldırılar artmaya devam ediyor. Geçtiğimiz hafta, edtech devi PowerSchool, öğrencilerin ve öğretmenlerin kişisel verilerini ifşa eden Aralık 2024'teki bir fidye yazılımı saldırısının ardından fidye ödediğini doğruladı .

Bu arada, yeni raporlar, yaygın olarak kullanılan bir öğrenci katılım platformu olan iClicker'ın resmi web sitesinin bir ClickFix saldırısında hacklendiğini ortaya koyuyor. Siber suçlulara açık bir veritabanına sahip olmak, ön kapınızı ardına kadar açık bırakmaktan daha kötüdür, çok daha fazla tehlikenin olduğu açık bir davettir.

Fowler, öğrenci sporcuların kişisel bilgilerinin ifşa edilmesiyle ilişkili gizlilik risklerine dikkat çekti, çünkü bunlar genellikle gençtir ve kredi geçmişleri yoktur, bu da onları kimlik hırsızlığına karşı savunmasız hale getirir. Suçlular, bu verileri anında tespit edilmeden sahte hesaplar açmak için kullanabilir. Öğrencilerin, velilerin ve koçların iletişim bilgileri, hedefli kimlik avı saldırıları ve dolandırıcılıkları için kullanılabilir ve koçlar da kimlik avı girişimleri riski altındadır.

Bu sonuçlar göz önünde bulundurulduğunda, PrepHero veya EXACT Sports ile ilişkili kişiler kimlik avı/sosyal mühendislik girişimlerine karşı dikkatli olmalı, erişim kontrolleri olan güvenli içerik yönetim sistemleri kullanmalı, tüm hesaplar için çok faktörlü kimlik doğrulamayı kullanmalı ve olası veri ihlallerinin etkisini en aza indirmek için hassas belgeleri şifrelemelidir.

Fowler, "Anketlere veya PII içeren açık web sayfalarına benzersiz web bağlantıları içeren e-postalar göndermek kısıtlanmalı ve yetkisiz veya kazara erişimi önlemek için yalnızca oturum açma kimlik bilgileriyle erişilebilir olmalıdır" tavsiyesinde bulundu.