Peneliti cybersecurity, Jeremiah Fowler, menemukan dan melaporkan kepada VPNMENTOR tentang database yang tidak terenkripsi dan tidak dilindungi kata sandi yang berisi 3.154.239 catatan yang mungkin berasal dari platform yang dirancang untuk membantu atlet sekolah menengah dalam mengamankan beasiswa olahraga perguruan tinggi.
Basis data yang diekspos secara publik tidak dilindungi kata sandi atau dienkripsi. Ini berisi 3.154.239 catatan dengan ukuran total 135 GB. Dalam contoh terbatas dari dokumen yang terbuka, saya melihat nama, nomor telepon, email, alamat fisik, dan data paspor siswa, serta kontak orang tua dan pelatih olahraga perguruan tinggi. Database juga berisi dokumen yang tidak dilindungi.CSV dengan tautan ke gambar paspor atlet siswa.
File internal dan nama basis data menunjukkan catatan itu tampaknya milik perusahaan yang berbasis di Chicago bernama Prephero, dioperasikan oleh Exact Sports. Prephero menawarkan platform yang dirancang untuk membantu atlet sekolah menengah membangun resume perekrutan. Ini juga memungkinkan komunikasi langsung dengan pelatih di beberapa perguruan tinggi dan universitas yang paling bergengsi dan terkenal dengan tujuan mendapatkan beasiswa olahraga perguruan tinggi.
Saya segera mengirim pemberitahuan pengungkapan yang bertanggung jawab ke prephero, dan database dibatasi dari akses publik pada hari yang sama dan tidak lagi dapat diakses. Meskipun catatan tampaknya milik prephero, tidak diketahui apakah database dimiliki dan dikelola secara langsung oleh mereka atau oleh kontraktor pihak ketiga. Juga tidak diketahui berapa lama database diekspos sebelum saya menemukannya atau jika ada orang lain yang dapat memperoleh akses ke sana. Hanya audit forensik internal yang dapat mengidentifikasi akses tambahan atau aktivitas yang berpotensi mencurigakan.
Menurut situs web mereka, Prephero menyediakan bantuan perekrutan, sumber daya pelatihan mental, dan evaluasi prospek untuk mendukung pengembangan dan kinerja atlet siswa. Prephero bertujuan untuk merampingkan proses perekrutan dan meningkatkan visibilitas atlet untuk meningkatkan peluang mereka direkrut oleh program olahraga perguruan tinggi.
Basis data juga berisi folder bernama “Mail Cache” yang memiliki 10 GB pesan email yang berkisar dari 2017 hingga 2025. Dalam sampel terbatas, saya melihat banyak pesan kepada pelatih dengan tautan yang dipersonalisasi unik ke halaman yang dapat diakses secara publik yang berisi nama, tanggal kelahiran, email, alamat fisik, dan detail tentang kompensasi atau penggantian ulang. Beberapa email juga berisi pesan selamat datang dengan email akun dan kredensial login Ditandai sebagai kata sandi sementara yang dapat menimbulkan risiko privasi potensial tambahan. Saya juga melihat banyak file audio pelatih yang menyatakan nama mereka, perguruan tinggi tempat mereka berafiliasi, dan ringkasan atau evaluasi masing -masing kekuatan dan kelemahan siswa.
-
-
Gambar ini adalah kolase tangkapan layar yang menunjukkan contoh gambar paspor milik atlet muda yang dapat diakses secara publik.
-
-
Tangkapan layar ini menunjukkan contoh PII yang mencantumkan file A.CSV, detail paspor, dan informasi kontak ribuan siswa dan orang tua.
-
-
Tangkapan layar ini menunjukkan pesan selamat datang yang merinci alamat email dan kata sandi akun.
-
-
Tangkapan layar ini menunjukkan bagaimana folder muncul di database yang terbuka.
Setiap pelanggaran data yang memaparkan informasi yang berpotensi sensitif dari atlet-siswa dapat memiliki risiko privasi yang serius. PII siswa dan individu muda sangat rentan terhadap pencurian identitas karena mereka sering tidak memiliki sejarah kredit atau utang yang mapan. Secara hipotetis, ini dapat memudahkan para penjahat untuk membuka akun penipuan menggunakan nama, identitas, dan data pribadi mereka tanpa kecurigaan atau deteksi langsung.
Kebanyakan anak muda tidak pernah melakukan pemeriksaan kredit, dan mereka mungkin tidak secara aktif memantau profil keuangan mereka, memungkinkan itu Upaya pencurian identitas bisa tidak terdeteksi untuk waktu yang sangat lama. Skenario terburuk mungkin akan ditemukan bertahun-tahun kemudian-ketika mengajukan kartu kredit atau pekerjaan-bahwa para penjahat telah menggunakan informasi pribadi mereka dan merusak kredit mereka tanpa sepengetahuan mereka. Saya tidak mengatakan atlet siswa atau individu yang berafiliasi dengan prephero berisiko pencurian identitas atau penyalahgunaan informasi pribadi mereka. Saya hanya menyoroti skenario risiko dunia nyata hipotetis tentang bagaimana penjahat dapat menggunakan jenis data yang terbuka ini.
Selain itu, Paparan informasi kontak langsung siswa, orang tua, dan pelatih berpotensi digunakan untuk serangan phishing yang ditargetkan, penipuan, dan taktik teknik sosial Dirancang untuk menipu siswa atau keluarga mereka agar berbagi informasi pribadi sensitif tambahan atau melakukan pembayaran keuangan tambahan dengan alasan palsu.
Pelatih juga berpotensi ditargetkan dengan serangan tombak yang menyamar sebagai organisasi olahraga tepercaya, perguruan tinggi, atau bahkan berpura-pura berafiliasi dengan prephero atau organisasi serupa. Ini berpotensi membahayakan hubungan pribadi dan profesional atau kegiatan merekrut atau mengekspos data tambahan. Saya tidak mengatakan ada pengguna Prephero yang berisiko rekayasa sosial atau phishing, saya hanya memberikan skenario risiko taktik terkenal dan umum yang digunakan oleh penjahat.
Saran saya kepada siapa saja yang percaya bahwa informasi pribadi mereka bocor dalam pelanggaran data adalah Bersikaplah waspada dan ketahui tanda-tanda upaya tombak dan rekayasa sosial. Kaum muda (atau orang tua mereka) harus mendapatkan laporan kredit setiap tahun untuk memastikan tidak ada akun yang tidak sah atas nama anak. Selalu verifikasi identitas permintaan yang tidak terduga untuk informasi pribadi, pembayaran, atau kredensial login. Terkadang penjahat dapat membuat pesan yang tampaknya berasal dari sumber yang sah. Selalu verifikasi bahwa komunikasi apa pun hanya melalui saluran resmi – Jangan pernah memberikan informasi pribadi atau keuangan tambahan jika permintaan itu tampak mencurigakan.
Organisasi yang mengumpulkan dan menyimpan informasi yang berpotensi sensitif harus menggunakan sistem manajemen konten yang aman sebagai lawan menjaga semua file bisnis dalam satu repositori penyimpanan cloud. Menggunakan dokumen spreadsheet individual mungkin nyaman tetapi dapat menimbulkan potensi ancaman keamanan. CRM atau CMS yang dilindungi kata sandi menawarkan kontrol akses terstruktur, enkripsi, dan log audit, membuatnya jauh lebih sulit bagi pengguna yang tidak sah untuk mengakses atau memanipulasi data sensitif dibandingkan dengan file spreadsheet atau dokumen serupa yang disimpan dalam database cloud. File spreadsheet tidak memiliki fitur keamanan bawaan seperti izin berbasis peran dan lebih rentan terhadap berbagi atau paparan yang tidak disengaja jika terjadi pelanggaran data.
Selain itu, mengirim email dengan tautan web yang unik ke survei atau halaman web terbuka yang berisi PII harus dibatasi dan hanya dapat diakses dengan kredensial login untuk mencegah akses yang tidak sah atau tidak disengaja. Saya akan merekomendasikan bahwa perusahaan memerlukan otentikasi multi-faktor (MFA) di semua akun – Secara internal, untuk karyawan atau pelatih, dan secara eksternal untuk pengguna, atlet siswa, dan orang tua. Menggunakan MFA yang dikombinasikan dengan kata sandi yang kuat adalah langkah minimum yang dapat mempersulit penjahat cyber atau individu yang tidak berwenang untuk mendapatkan akses. Mengenkripsi semua dokumen dan menghapus atau menghapus catatan lama yang tidak lagi digunakan juga merupakan ide bagus yang dapat meminimalkan dampak paparan data.
Saya tidak menyiratkan kesalahan oleh prephero, olahraga yang tepat, atau karyawannya, agen, kontraktor, afiliasi, dan/atau entitas terkait. Saya tidak mengklaim bahwa data internal, pelanggan, atau pengguna apa pun yang berisiko segera. Skenario risiko data hipotetis yang telah saya sajikan dalam laporan ini secara ketat dan eksklusif untuk tujuan pendidikan dan tidak mencerminkan, menyarankan, atau menyiratkan kompromi aktual integritas data. Seharusnya tidak ditafsirkan sebagai cerminan atau komentar tentang praktik, sistem, atau langkah -langkah keamanan spesifik organisasi mana pun.
Sebagai peneliti keamanan etis, saya tidak mengunduh data yang saya temukan. Saya hanya mengambil sejumlah tangkapan layar yang diperlukan dan semata -mata untuk tujuan verifikasi dan dokumentasi. Saya tidak melakukan kegiatan apa pun di luar mengidentifikasi kerentanan keamanan dan memberi tahu pihak -pihak yang relevan. Saya menyangkal setiap dan semua tanggung jawab atas setiap dan semua tindakan yang dapat diambil sebagai hasil dari pengungkapan ini. Saya mempublikasikan temuan saya untuk meningkatkan kesadaran akan masalah keamanan dan privasi data. Tujuan saya adalah untuk mendorong organisasi untuk secara proaktif menerapkan langkah -langkah untuk melindungi informasi sensitif terhadap akses yang tidak sah.