Bir üniversite işe alım platformu olan Prephero’da bir güvenlik atlaması, hassas kişisel detaylar ve öğrenci sporcularının pasaport görüntüleri de dahil olmak üzere milyonlarca şifrelenmemiş kayıtlara maruz kaldı.
Üniversite bursları ve antrenörleri umudunu uman genç sporcular da dahil olmak üzere üç milyondan fazla kişiye ait büyük miktarda kişisel bilgiye yakın zamanda korunmasız bulundu. VPNmentor’un Siber Güvenlik Araştırmacısı Jeremiah Fowler bu açık veritabanını keşfetti ve 12 Mayıs 2025’te bildirdi.
Veritabanındaki bilgilere dayanarak, Exact Sports tarafından işletilen Prephero adlı Chicago merkezli bir şirkete aitti. Bilgileriniz için prephero, lise sporcularının kolej spor programları için işe alım profilleri oluşturmasına yardımcı olur ve ünlü üniversitelerdeki sporcular ve antrenörler arasında doğrudan iletişimi kolaylaştırır ve spor burslarını güvence altına alır.
Hackread.com ile paylaşılan Fowler’ın soruşturmasına göre, bu veritabanı şaşırtıcı bir 3.154.239 kayıt içeriyordu (toplam 135 gigabayt) ve bir şifre veya herhangi bir şifreleme şekli ile güvence altına alınmadı.
Fowler’ın ilk kontrolleri, isimler, telefon numaraları, e-posta adresleri, ev adresleri ve pasaport bilgileri dahil olmak üzere öğrenci sporcuları hakkında hassas bilgiler ortaya koydu. Veritabanı ayrıca ebeveynler ve antrenörler için iletişim bilgilerinin yanı sıra öğrenci sporcuların pasaport görüntü bağlantılarına sahip korumasız bilgisayar dosyaları da içeriyordu.
Pozlamanın ciddiyetine ek olarak, veritabanı, 2017’den 2025’e yayılan 10 gigabayt e -posta mesajı tutan “Posta Önbelleği” etiketli bir klasör içeriyordu. Klasör, adları, doğum tarihlerini, e -posta adreslerini, ev adreslerini, ev adreslerini ve telafi detaylarını gösteren kamuya açık sayfalara kişiselleştirilmiş web bağlantıları içeriyordu.
Bazı e -postalar ayrıca daha fazla gizlilik riskini ortaya koyan geçici şifreler içeriyordu. Öğrenci sporcuların güçlü ve zayıf yönlerinin isimlerini, kolejlerini ve değerlendirmelerini belirten antrenörlerin ses kayıtları da bulundu.
Fowler, veritabanını hızlı bir şekilde güvence altına alan ve kamuya daha fazla erişimi önleyen prephero’ya bu keşfi derhal açıkladı. Maruz kalan kayıtlar prephero ile ilişkilendirilmiş olsa da, bu veritabanının doğrudan yönetilip yönetilmediği veya harici bir şirketin yönetiminden sorumlu olup olmadığı henüz belirsizdir. Ayrıca, Fowler’ın keşfinden önce veya başka birinin erişebileceği veya ona erişebileceği hassas bilgilerin çevrimiçi olarak ne kadar süre erişilebilir olduğu da belirsizdir.
Eğitim sektörü zaten savunmasız
Check Point’in Nisan 2025 kötü amaçlı yazılım raporunda belirtildiği gibi, eğitim sektörüne siber saldırılar artmaya devam etmektedir. Geçen hafta, Edtech Giant Powerschool, Aralık 2024’te öğrencilerin ve öğretmenlerin kişisel verilerini ortaya çıkaran bir fidye yazılımı saldırısından sonra fidye ödediğini doğruladı.
Bu arada, yeni raporlar, yaygın olarak kullanılan bir öğrenci katılım platformu olan IClicker’ın resmi web sitesinin bir ClickFix saldırısında hacklendiğini ortaya koyuyor. Siber suçlulara maruz kalan bir veritabanına sahip olmak, ön kapınızı tamamen açık bırakmaktan daha kötüdür, çok daha tehlikede olan açık bir davettir.
Fowler, genellikle genç oldukları ve kredi geçmişlerinden yoksun oldukları için öğrenci sporcuların kişisel bilgilerini ortaya çıkarmakla ilişkili gizlilik risklerini vurguladı, bu da onları kimlik hırsızlığına karşı savunmasız hale getirdi. Suçlular bu verileri derhal tespit etmeden hileli hesaplar açmak için kullanabilirler. Öğrenciler, ebeveynler ve antrenörlerin iletişim bilgileri, hedeflenen kimlik avı saldırıları ve dolandırıcılık için sömürülebilir ve antrenörler de mızrak aktı girişimleri riski altındadır.
Bu yansımalar göz önüne alındığında, prephero veya kesin sporlarla ilişkili bireyler kimlik avı/sosyal mühendislik girişimleri konusunda dikkatli kalmalı, erişim kontrolleri olan güvenli içerik yönetim sistemlerini kullanmalı, tüm hesaplar için çok faktörlü kimlik doğrulama kullanmalı ve potansiyel veri ihlallerinin etkisini en aza indirmek için hassas belgeleri şifrelemek zorundadır.
Fowler, “PII içeren anketlere veya açık web sayfalarına benzersiz web bağlantılarına sahip e -postalar göndermek kısıtlanmalı ve yalnızca yetkisiz veya kazara erişimi önlemek için giriş kimlik bilgileriyle erişilebilir olmalıdır” dedi.